この部分の広告を募集しています。詳しくはこちら
- 【PR】「超求人成功法」わずか1,500円で求人応募者激増の魔法 これでエンジニアも集まる!
- 【PR】楽天市場 デスクトップパソコン | ノートパソコン | プレズマテレビ | 液晶テレビ | DVD/HDDレコーダー || デル今週のおすすめ商品
- 【PR】CCNAの勉強なら、『CCNAテキスト』900ページ以上のボリュームでCCNAやネットワークエンジニアとして必要な技術を網羅!
バーチャルリンクが存在するときのエリア0認証とバーチャルリンク上のネイバー認証 【For CCIE OSPF】
カテゴリー:Cisco(シスコ) | カテゴリー:IPルーティング (2005年09月12日)
OSPFネイバー認証の落とし穴 バーチャルリンク
バーチャルリンクが存在するときのエリア0での認証の有効化には、十分気をつけなくてはいけません。具体的に次のサンプルネットワークを考えます。
エリア1をバックボーンエリアに接続させるために、R1とR3でバーチャルリンクの設定をしています。R1でshow ip ospf virtual-linksでバーチャルリンクの状態を確認すると、バーチャルリンク上で正しくアジャセンシーを確立できています。
R1 show ip ospf virtual-links
R1#sh ip ospf virtual-links
Virtual Link OSPF_VL0 to router 3.3.3.3 is up
~省略~
Hello due in 00:00:01
Adjacency State FULL (Hello suppressed)
~省略~
ここで、R3、R4でエリア0の認証の設定をします。設定を簡素化するため、シンプルパスワードの設定をします。
R3(config)#router ospf 100
R3(config-router)#area 0 authentication
R3(config-router)#exit
R3(config)#interface ethernet 0
R3(config-if)#ip ospf authentication-key cisco
R4(config)#router ospf 100
R4(config-router)#area 0 authentication
R4(config-router)#exit
R4(config)#interface ethernet 0
R4(config-if)#ip ospf authentication-key cisco
エリア0でシンプルパスワード認証を設定した後、OSPFプロセスをリセットしてからR1でshow ip ospf virtual-linksコマンドを確認します。
R1 show ip ospf virtual-links
R1#sh ip ospf virtual-links
Virtual Link OSPF_VL0 to router 3.3.3.3 is up
Run as demand circuit
DoNotAge LSA allowed.
Transit area 13, via interface Serial0, Cost of using 64
Transmit Delay is 1 sec, State POINT_TO_POINT,
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
Hello due in 00:00:04
R1において、バーチャルリンク上でR3との間のアジャセンシーが確立されなくなってしまいます。これは、R3でエリア0の認証を有効化すると、バーチャルリンク上の認証も有効になるからです。R3でshow ip ospf virtual-linksを見ると、次のようにR1との間のバーチャルリンクでシンプルパスワード認証が有効になっていることがわかります。
R3 show ip ospf virtual-links
R3#sh ip ospf virtual-links
Virtual Link OSPF_VL0 to router 1.1.1.1 is up
Run as demand circuit
DoNotAge LSA allowed.
Transit area 13, via interface Serial0, Cost of using 64
Transmit Delay is 1 sec, State POINT_TO_POINT,
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
Hello due in 00:00:01
Simple password authentication enabled
しかし、R1ではR3との間のバーチャルリンク上での認証が有効になっていないので、バーチャルリンク上でのアジャセンシーを確立することができなくなっているのです。これでは、結局エリア1が孤立してしまい、IP接続性を確保することができません。
エリア0で認証を有効にしたら、バーチャルリンクも認証が有効になる!
正しくバーチャルリンク上でアジャセンシーを確立し、ルーティングができるようにするにはR1とR3の間のバーチャルリンクでの認証の設定を追加する必要があります。 R1で、バーチャルリンク上の認証を有効にするには、
R1(config)#router ospf 100
R1(config-router)#area 0 authentication
または、
R1(config)#router ospf 100
R1(config-router)#area 13 virtual-link 3.3.3.3 authentication
の設定をします。
あとは、R1、R3でバーチャルリンク上の認証で利用するパスワードを次のように設定します。
R1(config)#router ospf 100
R1(config-router)#area 13 virtual-link 3.3.3.3 authentication-key cisco
R3(config)#router ospf 100
R3(config-router)#area 13 virtual-link 1.1.1.1 authentication-key cisco
バーチャルリンク上の認証を設定して、R1とR3でshow ip ospf virtual-linksを見ると、次のようにアジャセンシーが確立できていることがわかります。
R1 show ip ospf virtual-links
R1#sh ip ospf virtual-links
Virtual Link OSPF_VL0 to router 3.3.3.3 is up
Run as demand circuit
DoNotAge LSA allowed.
Transit area 13, via interface Serial0, Cost of using 64
Transmit Delay is 1 sec, State POINT_TO_POINT,
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
Hello due in 00:00:01
Adjacency State FULL (Hello suppressed)
Index 1/3, retransmission queue length 0, number of retransmission 0
First 0x0(0)/0x0(0) Next 0x0(0)/0x0(0)
Last retransmission scan length is 0, maximum is 0
Last retransmission scan time is 0 msec, maximum is 0 msec
Simple password authentication enabled
R3 show ip ospf virtual-links
R3#sh ip ospf virtual-links
Virtual Link OSPF_VL0 to router 1.1.1.1 is up
Run as demand circuit
DoNotAge LSA allowed.
Transit area 13, via interface Serial0, Cost of using 64
Transmit Delay is 1 sec, State POINT_TO_POINT,
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
Hello due in 00:00:09
Adjacency State FULL (Hello suppressed)
Index 2/3, retransmission queue length 0, number of retransmission 1
First 0x0(0)/0x0(0) Next 0x0(0)/0x0(0)
Last retransmission scan length is 1, maximum is 1
Last retransmission scan time is 0 msec, maximum is 0 msec
Simple password authentication enabled
例では、シンプルパスワード方式でしたがMD5方式でも同じです。CCIEラボ試験では、ほとんどの場合、バーチャルリンクを設定しなければいけないエリア構成になっています。ですから、バーチャルリンクを設定しているときに、エリア0での認証を行うときは十分に注意してください。
更にOSPFを究めるなら!Gene作成の『究めるOSPF』がお勧め!詳細はこちら↓
http://www.n-study.com/library/2005/11/ccnaccnpccieosp.html
Geneさん
いつも有益な情報をアップして頂きありがとうございます。
endy(ペンネーム)です。
本ページを読ませて頂いたところ、以下に誤記があるのではないかと
思っております。確認して頂いて良いでしょうか。
-----------------------------------------------------------
<該当箇所-1>
R3(config)#router ospf 100
R3(config-router)#area 13 virtual-link 3.3.3.3 authentication-key cisco
<以下に修正?>
R3(config)#router ospf 100
R3(config-router)#area 13 virtual-link 1.1.1.1 authentication-key cisco
-----------------------------------------------------------
<該当箇所-2_図_バーチャルリンク上の認証におけるR1の吹き出し>
router ospf 100
area 0 authentication
area 0 virtual-link 1.1.1.1 authentication-key cisco
または、
router ospf 100
area 0 virtual-link 1.1.1.1 authentication
area 0 virtual-link 1.1.1.1 authentication-key cisco
<以下に修正?>
router ospf 100
area 0 authentication
area 13 virtual-link 3.3.3.3 authentication-key cisco
または、
router ospf 100
area 13 virtual-link 3.3.3.3 authentication
area 13 virtual-link 3.3.3.3 authentication-key cisco
-----------------------------------------------------------