OSPF 認証(インターフェース認証)

◾️OSPF 認証(インターフェース認証)

　【課題】
　　・R1-R2間でインターフェース認証を実装する。
　　　又、ミス設定時の挙動を確認する。

　【補足】
　　・OSPF認証は2種類ある。
　　　①インターフェース認証 ※本検証範囲
　　　　(Type0:Null認証[認証なし]/Type1:平文認証/Type2:MD5認証)
　　　②エリア認証
　　　　(Type0:Null認証[認証なし]/Type1:平文認証/Type2:MD5認証)
　　　※OSPFの認証では認証Type及びパスワード(MD認証であればKey-idも)一致する
　　　必要があります。

◾️検証環境図

①検証環境　事前設定確認

(1)OSPFネイバー確認

　OSPFネイバーが正常に張れている事を確認する。

R1#show ip ospf neighbor 

Neighbor ID     Pri   State           Dead Time   Address         Interface

2.2.2.2           1   FULL/BDR        00:00:36    192.168.12.2    Ethernet0/0

R2#show ip ospf neighbor 

Neighbor ID     Pri   State           Dead Time   Address         Interface

1.1.1.1           1   FULL/DR         00:00:38    192.168.12.1    Ethernet0/0

②設定変更1(インターフェース認証[平文])

(1)R1のE0/0にてインターフェース認証を設定する。

R1(config)#int e0/0

R1(config-if)#ip ospf authentication-key cisco

※認証失敗時の挙動を確認する為に、少し待つ。
[ケース1]R1 認証あり(平文パスワード)　　R2 認証なし 

R1#debug ip ospf adj 

OSPF adjacency debugging is on

*May  4 12:25:44.500: OSPF-1 ADJ   Et0/0: Rcv pkt from 192.168.12.2 : Mismatched Authentication type. Input packet specified type 0, we use type 1  //Type0=Null認証(認証なし)  Type1=平文認証　　Type2=MD5認証

R2#debug ip ospf adj 

OSPF adjacency debugging is on

*May  4 12:25:42.316: OSPF-1 ADJ   Et0/0: Rcv pkt from 192.168.12.1 : Mismatched Authentication type. Input packet specified type 1, we use type 0   //Type0=Null認証(認証なし)  Type1=平文認証　　Type2=MD5認証

※認証が出来ていない為、ネイバー関係は確立しない。

R1#show ip ospf neighbor 

R1#

R2#show ip ospf neighbor 

R2#

(2)R2のE0/0にてインターフェース認証を設定する。(誤ったパスワードを設定する)

R2(config)#int e0/0

R2(config-if)#ip ospf authentication-key ccie

※認証失敗時の挙動を確認する為に、少し待つ。
[ケース2]R1 認証あり(平文パスワード)　　R2認証あり(平文パスワード)※パスワード不一致 

R1#debug ip ospf adj 

OSPF adjacency debugging is on

*May  4 12:33:03.732: OSPF-1 ADJ   Et0/0: Rcv pkt from 192.168.12.2,  : Mismatched Authentication Key - Clear Text

R2#debug ip ospf adj 

OSPF adjacency debugging is on

*May  4 12:32:58.480: OSPF-1 ADJ   Et0/0: Rcv pkt from 192.168.12.1,  : Mismatched Authentication Key - Clear Text

※認証が出来ていない為、ネイバー関係は確立しない。

R1#show ip ospf neighbor 

R1#

R2#show ip ospf neighbor 

R2#

(3)R2のE0/0にてインターフェース認証を設定する。(正しいパスワードを設定する)

R2(config)#int e0/0

R2(config-if)#ip ospf authentication-key cisco

(4)OSPFネイバー確認する。

　正常にOSPFネイバーが確立される事を確認する。

R1#show ip ospf neighbor 

Neighbor ID     Pri   State           Dead Time   Address         Interface

2.2.2.2           1   FULL/DR         00:00:36    192.168.12.2    Ethernet0/0

R2#show ip ospf neighbor 

Neighbor ID     Pri   State           Dead Time   Address         Interface

1.1.1.1           1   FULL/BDR        00:00:36    192.168.12.1    Ethernet0/0

②設定変更2(インターフェース認証[MD5パスワード認証)

(1)R1のE0/0にてインターフェース認証を設定する。

R1(config)#int e0/0

R1(config-if)#ip ospf message-digest-key 

R1(config-if)#ip ospf message-digest-key 1 md5 cisco

※認証失敗時の挙動を確認する為に、少し待つ。
[ケース1]R1 認証あり(MD5パスワード)　　R2 認証なし 

R1#debug ip ospf adj 

OSPF adjacency debugging is on

*May  4 12:48:48.502: OSPF-1 ADJ   Et0/0: Rcv pkt from 192.168.12.2 : Mismatched Authentication type. Input packet specified type 0, we use type 2    //Type0=Null認証(認証なし)  Type1=平文認証　　Type2=MD5認証

*May  4 12:48:49.024: OSPF-1 ADJ   Et0/0: Send with youngest Key 1  //key-id 1 をEt0/0から送信

R2#debug ip ospf adj 

OSPF adjacency debugging is on

*May  4 12:48:58.666: OSPF-1 ADJ   Et0/0: Rcv pkt from 192.168.12.1 : Mismatched Authentication type. Input packet specified type 2, we use type 0   //Type0=Null認証(認証なし)  Type1=平文認証　　Type2=MD5認証

(2)R2のE0/0にてインターフェース認証を設定する。(誤ったパスワードを設定する)
[ケース2]R1 認証あり(MD5パスワード)　R2認証あり(MD5パスワード)※パスワード不一致 

R2(config)#int e0/0

R2(config-if)#ip ospf message-digest-key 

R2(config-if)#ip ospf message-digest-key 2 md5 ccie

R1#debug ip ospf adj     

OSPF adjacency debugging is on

R1#

*May  4 12:56:54.029: OSPF-1 ADJ   Et0/0: Rcv pkt from 192.168.12.2 : Mismatched Authentication key - ID 1

R1#

*May  4 12:56:55.161: OSPF-1 ADJ   Et0/0: Send with youngest Key 1　 //key-id 1 をEt0/0から送信

R2#

*May  4 12:56:44.284: OSPF-1 ADJ   Et0/0: Send with youngest Key 1　　 //key-id 1 をEt0/0から送信

R2#

*May  4 12:56:45.455: OSPF-1 ADJ   Et0/0: Rcv pkt from 192.168.12.1 : Mismatched Authentication key - ID 1

※認証が出来ていない為、ネイバー関係は確立しない。

R1#show ip ospf neighbor 

R1#

R2#show ip ospf neighbor 

R2#

(3)R2のE0/0にてインターフェース認証を設定する。(key-chainの不一致)
[ケース3]R1 認証あり(MD5パスワード)　R2認証あり(MD5パスワード)※key-chain不一致

R2(config)#int e0/0

R2(config-if)#ip ospf message-digest-key 2 md5 cisco

R1#debug ip ospf adj 

OSPF adjacency debugging is on

R1#

*May  4 13:00:51.508: OSPF-1 ADJ   Et0/0: Rcv pkt from 192.168.12.2 : Mismatched Authentication Key - Invalid cryptographic authentication Key ID 2 on interface  　//key-chainが不一致のためのエラー

R1#

*May  4 13:00:52.604: OSPF-1 ADJ   Et0/0: Send with youngest Key 1/　　 //key-id 1 をEt0/0から送信

R2#debug ip ospf adj 

OSPF adjacency debugging is on

R2#

*May  4 13:00:32.644: OSPF-1 ADJ   Et0/0: Send with youngest Key 2　　　 //key-id 2 をEt0/0から送信

*May  4 13:00:33.728: OSPF-1 ADJ   Et0/0: Rcv pkt from 192.168.12.1 : Mismatched Authentication Key - Invalid cryptographic authentication Key ID 1 on interface  　//key-chainが不一致のためのエラー

R2#

※認証が出来ていない為、ネイバー関係は確立しない。

R1#show ip ospf neighbor 

R1#

R2#show ip ospf neighbor 

R2#

(3)R2のE0/0にてインターフェース認証を設定する。(正しいパスワードを設定する)

R2(config)#int e0/0

R2(config-if)#ip ospf message-digest-key 1 md5 cisco

(4)OSPFネイバー確認する。

　正常にOSPFネイバーが確立される事を確認する。

R3#show ip ospf neighbor 

Neighbor ID     Pri   State           Dead Time   Address         Interface

2.2.2.2           1   FULL/BDR        00:00:35    192.168.23.2    Ethernet0/1

R2#show ip ospf neighbor 

Neighbor ID     Pri   State           Dead Time   Address         Interface

1.1.1.1           1   FULL/BDR        00:00:37    192.168.12.1    Ethernet0/0

3.3.3.3           1   FULL/DR         00:00:34    192.168.23.3    Ethernet0/1