◾️OSPF 認証(インターフェース認証)
【課題】・R1-R2間でインターフェース認証を実装する。
又、ミス設定時の挙動を確認する。
【補足】
・OSPF認証は2種類ある。
①インターフェース認証 ※本検証範囲
(Type0:Null認証[認証なし]/Type1:平文認証/Type2:MD5認証)
②エリア認証
(Type0:Null認証[認証なし]/Type1:平文認証/Type2:MD5認証)
※OSPFの認証では認証Type及びパスワード(MD認証であればKey-idも)一致する
必要があります。
◾️検証環境図
①検証環境 事前設定確認
(1)OSPFネイバー確認
OSPFネイバーが正常に張れている事を確認する。
R1#show ip ospf neighbor
Neighbor ID Pri State Dead Time Address Interface
2.2.2.2 1 FULL/BDR 00:00:36 192.168.12.2 Ethernet0/0
R2#show ip ospf neighbor
Neighbor ID Pri State Dead Time Address Interface
1.1.1.1 1 FULL/DR 00:00:38 192.168.12.1 Ethernet0/0
②設定変更1(インターフェース認証[平文])
(1)R1のE0/0にてインターフェース認証を設定する。
R1(config)#int e0/0
R1(config-if)#ip ospf authentication-key cisco
[ケース1]R1 認証あり(平文パスワード) R2 認証なし
R1#debug ip ospf adj
OSPF adjacency debugging is on
*May 4 12:25:44.500: OSPF-1 ADJ Et0/0: Rcv pkt from 192.168.12.2 : Mismatched Authentication type. Input packet specified type 0, we use type 1 //Type0=Null認証(認証なし) Type1=平文認証 Type2=MD5認証
R2#debug ip ospf adj
OSPF adjacency debugging is on
*May 4 12:25:42.316: OSPF-1 ADJ Et0/0: Rcv pkt from 192.168.12.1 : Mismatched Authentication type. Input packet specified type 1, we use type 0 //Type0=Null認証(認証なし) Type1=平文認証 Type2=MD5認証
※認証が出来ていない為、ネイバー関係は確立しない。
R1#show ip ospf neighbor
R1#
R2#show ip ospf neighbor
R2#
(2)R2のE0/0にてインターフェース認証を設定する。(誤ったパスワードを設定する)
R2(config)#int e0/0
R2(config-if)#ip ospf authentication-key ccie
※認証失敗時の挙動を確認する為に、少し待つ。
[ケース2]R1 認証あり(平文パスワード) R2認証あり(平文パスワード)※パスワード不一致
[ケース2]R1 認証あり(平文パスワード) R2認証あり(平文パスワード)※パスワード不一致
R1#debug ip ospf adj
OSPF adjacency debugging is on
*May 4 12:33:03.732: OSPF-1 ADJ Et0/0: Rcv pkt from 192.168.12.2, : Mismatched Authentication Key - Clear Text
R2#debug ip ospf adj
OSPF adjacency debugging is on
*May 4 12:32:58.480: OSPF-1 ADJ Et0/0: Rcv pkt from 192.168.12.1, : Mismatched Authentication Key - Clear Text
※認証が出来ていない為、ネイバー関係は確立しない。
R1#show ip ospf neighbor
R1#
R2#show ip ospf neighbor
R2#
(3)R2のE0/0にてインターフェース認証を設定する。(正しいパスワードを設定する)
R2(config)#int e0/0
R2(config-if)#ip ospf authentication-key cisco
(4)OSPFネイバー確認する。
正常にOSPFネイバーが確立される事を確認する。
R1#show ip ospf neighbor
Neighbor ID Pri State Dead Time Address Interface
2.2.2.2 1 FULL/DR 00:00:36 192.168.12.2 Ethernet0/0
R2#show ip ospf neighbor
Neighbor ID Pri State Dead Time Address Interface
1.1.1.1 1 FULL/BDR 00:00:36 192.168.12.1 Ethernet0/0
②設定変更2(インターフェース認証[MD5パスワード認証)
(1)R1のE0/0にてインターフェース認証を設定する。
R1(config)#int e0/0
R1(config-if)#ip ospf message-digest-key
R1(config-if)#ip ospf message-digest-key 1 md5 cisco
[ケース1]R1 認証あり(MD5パスワード) R2 認証なし
R1#debug ip ospf adj
OSPF adjacency debugging is on
*May 4 12:48:48.502: OSPF-1 ADJ Et0/0: Rcv pkt from 192.168.12.2 : Mismatched Authentication type. Input packet specified type 0, we use type 2 //Type0=Null認証(認証なし) Type1=平文認証 Type2=MD5認証
*May 4 12:48:49.024: OSPF-1 ADJ Et0/0: Send with youngest Key 1 //key-id 1 をEt0/0から送信
R2#debug ip ospf adj
OSPF adjacency debugging is on
*May 4 12:48:58.666: OSPF-1 ADJ Et0/0: Rcv pkt from 192.168.12.1 : Mismatched Authentication type. Input packet specified type 2, we use type 0 //Type0=Null認証(認証なし) Type1=平文認証 Type2=MD5認証
[ケース2]R1 認証あり(MD5パスワード) R2認証あり(MD5パスワード)※パスワード不一致
R2(config)#int e0/0
R2(config-if)#ip ospf message-digest-key
R2(config-if)#ip ospf message-digest-key 2 md5 ccie
R1#debug ip ospf adj
OSPF adjacency debugging is on
R1#
*May 4 12:56:54.029: OSPF-1 ADJ Et0/0: Rcv pkt from 192.168.12.2 : Mismatched Authentication key - ID 1
R1#
*May 4 12:56:55.161: OSPF-1 ADJ Et0/0: Send with youngest Key 1 //key-id 1 をEt0/0から送信
R2#
*May 4 12:56:44.284: OSPF-1 ADJ Et0/0: Send with youngest Key 1 //key-id 1 をEt0/0から送信
R2#
*May 4 12:56:45.455: OSPF-1 ADJ Et0/0: Rcv pkt from 192.168.12.1 : Mismatched Authentication key - ID 1
※認証が出来ていない為、ネイバー関係は確立しない。
R1#show ip ospf neighbor
R1#
R2#show ip ospf neighbor
R2#
[ケース3]R1 認証あり(MD5パスワード) R2認証あり(MD5パスワード)※key-chain不一致
R2(config)#int e0/0
R2(config-if)#ip ospf message-digest-key 2 md5 cisco
R1#debug ip ospf adj
OSPF adjacency debugging is on
R1#
*May 4 13:00:51.508: OSPF-1 ADJ Et0/0: Rcv pkt from 192.168.12.2 : Mismatched Authentication Key - Invalid cryptographic authentication Key ID 2 on interface //key-chainが不一致のためのエラー
R1#
*May 4 13:00:52.604: OSPF-1 ADJ Et0/0: Send with youngest Key 1/ //key-id 1 をEt0/0から送信
R2#debug ip ospf adj
OSPF adjacency debugging is on
R2#
*May 4 13:00:32.644: OSPF-1 ADJ Et0/0: Send with youngest Key 2 //key-id 2 をEt0/0から送信
*May 4 13:00:33.728: OSPF-1 ADJ Et0/0: Rcv pkt from 192.168.12.1 : Mismatched Authentication Key - Invalid cryptographic authentication Key ID 1 on interface //key-chainが不一致のためのエラー
R2#
※認証が出来ていない為、ネイバー関係は確立しない。
R1#show ip ospf neighbor
R1#
R2#show ip ospf neighbor
R2#
R2(config)#int e0/0
R2(config-if)#ip ospf message-digest-key 1 md5 cisco
(4)OSPFネイバー確認する。
正常にOSPFネイバーが確立される事を確認する。
R3#show ip ospf neighbor
Neighbor ID Pri State Dead Time Address Interface
2.2.2.2 1 FULL/BDR 00:00:35 192.168.23.2 Ethernet0/1
R2#show ip ospf neighbor
Neighbor ID Pri State Dead Time Address Interface
1.1.1.1 1 FULL/BDR 00:00:37 192.168.12.1 Ethernet0/0
3.3.3.3 1 FULL/DR 00:00:34 192.168.23.3 Ethernet0/1