OSPFのネイバー認証
・OSPFのネイバー認証を設定する
・RouteAとRouterB間は,シンプル・パスワード認証を使う
・RouteAとRouterC間は,MD5認証を使う
ネットワーク構成(画像を別ウインドウで表示)
RouterAのコンフィグ
!
version 12.2
no service single-slot-reload-enable
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname RouterA
!
interface Ethernet0
ip address 192.168.0.1 255.255.255.0
ip ospf authentication-key cisco ←認証パスワードを「cisco」にする
!
interface Serial0
ip address 192.168.1.1 255.255.255.0
ip ospf message-digest-key 1 md5 cisco ←認証キーを「1」,パスワードを「cisco」にする
no fair-queue
clockrate 64000
!
router ospf 1
log-adjacency-changes
area 0 authentication ←エリア0に所属するインタフェースを認証対象にする(シンプル・パスワード)
area 1 authentication message-digest ←エリア1に所属するインタフェースを認証対象にする(MD5)

network 192.168.0.0 0.0.0.255 area 0
network 192.168.1.0 0.0.0.255 area 1
!
line con 0
transport input none
line aux 0
line vty 0 4
login
!
end
RouterBのコンフィグ
!
version 12.2
no service single-slot-reload-enable
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname RouterB
!
interface Ethernet0
ip address 192.168.0.2 255.255.255.0
ip ospf authentication-key cisco ←認証パスワードを「cisco」にする
!
router ospf 1
log-adjacency-changes
area 0 authentication ←エリア0に所属するインタフェースを認証対象にする(シンプル・パスワード)
network 192.168.0.0 0.0.0.255 area 0
!
line con 0
transport input none
line aux 0
line vty 0 4
login
!
end
RouterCのコンフィグ
!
version 12.2
no service single-slot-reload-enable
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname RouterC
!
interface Serial0
ip address 192.168.1.2 255.255.255.0
ip ospf message-digest-key 1 md5 cisco ←認証キーを「1」,パスワードを「cisco」にする
!
router ospf 1
log-adjacency-changes
area 1 authentication message-digest ←エリア1に所属するインタフェースを認証対象にする(MD5)
network 192.168.1.0 0.0.0.255 area 1
!
line con 0
transport input none
line aux 0
line vty 0 4
login
!
end
確認
OSPFには,パケットをやりとりするネイバーを認証する機能があります。
両ルーターに設定したパスワードが合わないと,ネイバーになることができません。
こうすることで,不用意に設置されたルーターを,OSPFネットワークに入れないようにできます。

●ネイバー認証の方法
ネイバー認証の設定は,以下の2ステップです。

1.ネイバー認証を有効にする
2.認証パスワードを設定する

ネイバー認証を有効にするとき(ステップ1)は,認証を有効にするインタフェースと認証方法を指定します。
コマンドをまとめると,以下のようになります。

【ネイバー認証を有効にするコマンド】
・特定のインタフェースで認証を有効にする
  (config-if)#ip ospf authentication (message-digest)
・特定のエリアに所属するインタフェースで認証を有効にする
  (config-router)#area エリア番号 authentication (message-digest)
・特定のバーチャルリンクのネイバーとの間で認証を有効にする
  (config-router)#area エリア番号 virtual-link ルーターID authentication (message-digest)

message-digestがなければ「シンプル・パスワード認証」で,パスワードそのものが平文でやりとりされます。
message-digestを付けると「MD5認証」で,パスワードにハッシュをかけて暗号化した文字列がやりとりされます。

認証パスワードの設定(ステップ2)は,それぞれのインタフェースで設定します。

●動作の確認
今回は,RouterAとRouterB同士でシンプル・パスワード認証を実行します。
そして,RouterAとRouterC同士でMD5認証を実行します。
各ルーターで,太字のコマンドを入力していない状態から見ていきます。

まずはRouterAを設定しましょう。
以下の設定をして,エリア0に所属するインタフェースで,シンプル・パスワード認証を有効にします(1番目の赤字)。
さらに,エリア1に所属するインタフェースで,MD5認証を有効にしす(2番目の赤字)。

RouterA(config)#router ospf 1
RouterA(config-router)#area 0 authentication
RouterA(config-router)#area 1 authentication message-digest
RouterA(config-router)#
00:49:42: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.0.2 on Ethernet0 from FULL to DOWN, Neighbor Down: Dead timer expired
00:50:08: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.1.2 on Serial0 from FULL to DOWN, Neighbor Down: Dead timer expired


すると,両方のアジャセンシーがダウンしました。
これは,それぞれの対向ルーターで認証が有効になっていないからですね。

RouterAに認証パスワードを設定します。
シンプル・パスワード認証のパスワードは「cisco」に設定します(1番目の赤字)。
MD5認証の認証IDを「1」に,パスワードを「cisco」に設定します(2番目の赤字)。
MD5認証の場合はパスワードのほかに認証IDを設定して,これも相手と一致させる必要があります。

RouterA(config)#interface ethernet 0
RouterA(config-if)#ip ospf authentication-key cisco

RouterA(config-if)#exit
RouterA(config)#interface serial 0
RouterA(config-if)#ip ospf message-digest-key 1 md5 cisco


RouterAの設定は以上です。
次に,RouterBを設定します。
エリア0に所属するインタフェースでシンプル・パスワード認証を有効にして,パスワードを「cisco」に設定します。

RouterB(config)#router ospf 1
RouterB(config-router)#area 0 authentication

RouterB(config-router)#exit
RouterB(config)#interface ethernet 0
RouterB(config-if)#ip ospf authentication-key cisco
RouterB(config-if)#
00:52:52: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.1.1 on Ethernet0 from LOADING to FULL, Loading Done


すると,ダウンしていたアジャセンシーが復活しました。
RouterBで認証が有効になっているかは,show ip ospfコマンドで確認できます。

RouterB#show ip ospf
Routing Process "ospf 1" with ID 192.168.0.2 and Domain ID 0.0.0.1
Supports only single TOS(TOS0) routes
Supports opaque LSA
SPF schedule delay 5 secs, Hold time between two SPFs 10 secs
Minimum LSA interval 5 secs. Minimum LSA arrival 1 secs
Number of external LSA 0. Checksum Sum 0x0
Number of opaque AS LSA 0. Checksum Sum 0x0
Number of DCbitless external and opaque AS LSA 0
Number of DoNotAge external and opaque AS LSA 0
Number of areas in this router is 1. 1 normal 0 stub 0 nssa
External flood list length 0
  Area BACKBONE(0)
    Number of interfaces in this area is 1
    Area has simple password authentication
    SPF algorithm executed 6 times
    Area ranges are
    Number of LSA 4. Checksum Sum 0x1E8B8
    Number of opaque link LSA 0. Checksum Sum 0x0
    Number of DCbitless LSA 0
    Number of indication LSA 0
    Number of DoNotAge LSA 0
    Flood list length 0


最後に,RouterCを設定しましょう。
エリア1に所属するインタフェースでMD5認証を有効にして,認証IDを「1」に,パスワードを「cisco」に設定します。

RouterC(config)#router ospf 1
RouterC(config-router)#area 1 authentication message-digest
RouterC(config-router)#exit
RouterC(config)#interface serial 0
RouterC(config-if)#ip ospf message-digest-key 1 md5 cisco
RouterC(config-if)#
00:57:18: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.1.1 on Serial0 from LOADING to FULL, Loading Done


こちらのアジャセンシーが復活しました。
show ip ospfで見てみると,エリア1でMD5認証が有効になっていることもわかります。

RouterC#show ip ospf
Routing Process "ospf 1" with ID 192.168.1.2 and Domain ID 0.0.0.1
Supports only single TOS(TOS0) routes
Supports opaque LSA
SPF schedule delay 5 secs, Hold time between two SPFs 10 secs
Minimum LSA interval 5 secs. Minimum LSA arrival 1 secs
Number of external LSA 0. Checksum Sum 0x0
Number of opaque AS LSA 0. Checksum Sum 0x0
Number of DCbitless external and opaque AS LSA 0
Number of DoNotAge external and opaque AS LSA 0
Number of areas in this router is 1. 1 normal 0 stub 0 nssa
External flood list length 0
  Area 1
    Number of interfaces in this area is 1
    Area has message digest authentication
    SPF algorithm executed 6 times
    Area ranges are
    Number of LSA 3. Checksum Sum 0x1CF92
    Number of opaque link LSA 0. Checksum Sum 0x0
    Number of DCbitless LSA 0
    Number of indication LSA 0
    Number of DoNotAge LSA 0
    Flood list length 0


●おまけ(認証パスワードが違うとどうなる?)
意地悪して,パスワードを不一致にしてみましょう。
RouterBのパスワードを「Cisco」から「hat」に変えてみます。

RouterB(config)#interface ethernet 0
RouterB(config-if)#no ip ospf authentication-key cisco
RouterB(config-if)#ip ospf authentication-key hat
RouterB(config-if)#
02:34:46: %OSPF-5-ADJCHG: Process 1, Nbr 192.168.1.1 on Ethernet0 from FULL to DOWN, Neighbor Down: Dead timer expired

Dead時間が経過してアジャセンシーがダウンしました。
RouterBのOSPFでは何が起こっているのでしょうか。
debug ip ospf eventsコマンドを入力しています。

RouterB#debug ip ospf events
OSPF events debugging is on
RouterB#
02:35:56: OSPF: Rcv pkt from 192.168.0.1, Ethernet0 : Mismatch Authentication Key - Clear Text


「認証キーがミスマッチ」と表示されました。
パスワードが一致していないことがわかります。

バーチャルリンクの認証設定などは,以下のリンクに設定例があります。

●参考リンク
OSPF における認証の設定例
http://www.cisco.com/japanese/warp/public/3/jp/service/tac/104/25-j.shtml
仮想リンクでの OSPF 認証のサンプル構成
http://www.cisco.com/japanese/warp/public/3/jp/service/tac/104/27-j.html

OSPFラボ
OSPFの基本設定
パッシブ・インタフェースの設定
プライオリティの設定と代表ルーターの選出
NBMAネットワーク(ノンブロードキャスト)
NBMAネットワーク(ブロードキャスト)
NBMAネットワーク(ポイントツーマルチポイント)
OSPFコストの設定
エリア設定(標準,スタブ,トータリースタブ)
エリア設定(NSSA,トータリースタブNSSA)
OSPFバーチャルリンク
OSPFの経路集約
ネイバー認証
(ツール)OSPFトポロジ表示フラッシュ