2005年11月24日
認証。
どうもこんばんは、Kyoです。
この季節になると会社によくかかってくるのは...節税などと称した
不 動 産 勧 誘 orz
なんで11月なんでしょうね。。どっちにしても仕事中に迷惑です。
しかも、ただでさえ某建築事務所の事件が問題になってる時期にそんなもん買うかっつーの…
だから必死に迷惑電話かけてまで売ってるんだろうけど(笑)
何社かかかって来たけど、有名なところをさらしておきます。
NASDAQ上場企業として恥を知りなさい。
ちなみに2回かかってきたら特定商取法17条の話をしましょう。
まあこのような不審者というのはどこにでも現れるものです。
もちろん、ルーティングの世界にも…
そこで、今回は「認証」について学んでみました。
そういえばあとでまとめて取り上げようとは思っていたんですがこんな試験直前に…(笑
CCIEでは100%出ます。理解していれば得点UP!!
…にはなりませんが、知らなかったら確実に失点します。
つまり、当然のように認証しなさいって書いてあるよ、ってこと。
ルーティングプロトコルごとに違います。
まずはRIPv2から見てみます。
★RIPv2の場合
「キーホルダに入ってる鍵を錠に差し込む」ことをイメージしてみてください。
key chain ccie
key 1
key-string ripkey
!
interface Serial1
ip rip authentication mode md5
ip rip authentication key-chain ccie
!
MD5で認証しています。もちろん、対抗にもripkeyというkey-stringを持つkey chainが存在しているひつようがあります。ただし、key chainは同じとは限りません。
キーは一緒である必要がありますがキーホルダは一緒じゃなくてもいいんですよってことですね。
そして、インターフェイスごとに設定します。
これで認証を確認するにはdebug ip rip packet等とすると認証に失敗している様子がわかります(笑
★EIGRPの場合
EIGRPの場合も基本的には一緒です。
key chain ccie
key 1
key-string eigrpkey
!
interface Serial1
ip authentication mode eigrp 100 md5
ip authentication key-chain eigrp 100 ccie
!
注意してほしいのは"ip rip auth"と"ip auth mode eigrp"って感じでルーティングプロトコルを指定する位置ですね。コマンドがわからなくてTABや?で検討つけるのが難しいかもしれません。
またip auth mode ***で指定できるプロトコルはEIGRPだけです(笑)意味ねぇ・・・
★BGPの場合
BGPの場合はキーホルダーなんていりません。いきなり鍵をぶっさします
router bgp 10
neighbor 1.1.1.1 password bgpkey
平文での交換は無理そうで、上記の例だと自動的にMD5になります。
★OSPFの場合
さて・・・一番厄介なのはこいつかと思われます。
上記のプロトコルたちと同様にインターフェイスで認証させる認証がまずはひとつ。
そしてエリア(主にバックボーンエリア)に接続するための認証がひとつあります。
エリアでの認証とは
Router(config-router)# area 0 authentication message-digest
などとする。肝心なパスワードはどこに書くかというと、
Router(config-if)# ip ospf message-digest-key 1 md5 ospfkey
などとインターフェイスに書いたりする(笑)ややこしー。
インターフェイスの認証だとこれは両方ともインターフェイスに書けばいいわけで
Router(config-if)# ip ospf authentication message-digest
Router(config-if)# ip ospf message-digest-key 1 md5 ospfkey
こんなかんじになります。
で、最大の注意点としては、area 0を認証するばあい、直接インターフェイスにつながってない「アレ」がありますよね??
そう、バーチャルリンク!
Router(config-router)# area 0 virtual-link 1.1.1.1 authentication message-digest
Router(config-router)# area 0 virtual-link 1.1.1.1 authentication message-digest-key 1 md5 ospfkey
長っ!
やはりOSPFが最高にくせものなのでした。
次回はIPFeatureについて語れたらいいなとおもいます(謎
ガレージ兵頭株式会社にヘッドハンティングされる日がくるまで!(笑
コメント
とっておきの忘れてませんか?
そう、IS-IS...
死ドニーでは必須です(笑)
By kazu | 2005年11月25日 13:27
うわぁぁぁ!(笑
忘れてましたよ悪魔のプロトコル!(笑)
っていうか来月の試験ではまだ試験範囲でしたよーははは。
死ドニー・・・私もいくことになるんでしょうか・・・
とりあえずKazuさんの感想を聞いてから考えようっと。
(そのまえに新宿クリアしてからだというツッコミが・・・)
By kyo | 2005年11月25日 16:30
IS-ISの認証って、CCO見ると結構簡単そうに書いてあるんですが、実際には奥が深くってはまってしまいます。
IS-IS自体がとても難しいので、認証以前の話という噂がありますが。ISP(特に米国)ではIS-ISを使ってますので、SPで死ドニー行くならIS-ISを抜きにはできないと思います。
といっても、二兎を追ってはいけないのがCCIEです。まず、目先のこと集中すべきですね。私、以前に失敗しましたので。
By ガレージ兵頭 | 2005年11月25日 18:46
>兵頭さん
IS-ISは本当にむずいですよね…CLNS/CLNPなんていう普段絶対使わないようなものが出てきますし…R&SではさすがにIS-ISの認証は出ませんよね。
っていうかIS-IS自体がもう多分でな(略)
もちろん、次の話は目先のR&Sが終わってからですよー。
残りわずか、全力でがんばります。
By kyo | 2005年11月26日 16:37