OSPFのネイバー認証の設定

OSPFには、ネイバーの認証機能があります。認証機能により正規のルータとのみネイバーになります。不正なルータとネイバーになることを防ぎます。。

図 OSPFネイバー認証
図 OSPFネイバー認証

ここでは、CiscoルータでのOSPFのネイバー認証機能の設定について解説します。

認証機能の設定は、次の2つのステップがあります。

  1. 認証機能の有効化
  2. 認証パスワードの設定

この2つのステップにしたがって、順番に解説します。

1.認証の有効化

認証には、平文パスワードとMD5によるメッセージダイジェストの2種類あります。また、認証を有効にする対象として、以下の3通りあります。

  • エリア
  • インタフェース
  • バーチャルリンク

エリアを対象とした認証の有効化

エリアで認証を有効にすると、そのエリアに含まれているすべてのインタフェースで認証を行います。エリアの認証を有効にするには、OSPFのコンフィグレーションモードで次のコマンドを入力します。

エリアを対象とした認証の有効化

(config)#router ospf < process-id >
(config-router)#area < area-id > authentication [message-digest]

< process-id > : OSPFプロセスID
< area-id > : エリアID

authenticationまでだと平文パスワードの認証です。message-digestをつけると、パスワードのMD5のメッセージダイジェストによる認証です。

エリア0(バックボーンエリア)で認証を有効にすると、バーチャルリンクでも認証が有効になることに注意してください。

インタフェースを対象とした認証の有効化

インタフェースで認証を有効にした場合は、そのインタフェースでのみ認証を行います。インタフェースで認証を有効にするには、インタフェースコンフィグレーションモードで次のコマンドを入力します。

インタフェースを対象とした認証の有効化

(config)#interface < interface-name >
(config-if)#ip ospf authentication [message-digest]

< interface-name > : インタフェース名

エリアを対象とした認証と同じように、authenticationまでだと平文パスワードの認証です。message-digestをつけると、パスワードのMD5のメッセージダイジェストによる認証です。

バーチャルリンクを対象とした認証の有効化

バーチャルリンクで認証を有効にすると、バーチャルリンク上での認証を行います。バーチャルリンク上で認証を有効にするには、OSPFのコンフィグレーションモードで次のコマンドを入力します。

バーチャルリンクを対象とした認証の有効化

(config)#router ospf < process-id >
(config-router)#area < area-id > virtual-link < router-id > authentication [message-digest]

< process-id > : OSPFプロセスID
< area-id > : バーチャルリンクのトランジットエリアのエリアID
< router-id > : バーチャルリンクの対向ルータのルータID

なお、エリア0でネイバー認証を有効化すると、バーチャルリンクでも認証が有効化されます。バーチャルリンクは仮想的なエリア0のリンクだからです。

2.認証パスワードの設定

認証パスワードは、ネイバーが存在するインタフェースでのみ設定すればよいです。ネイバーが存在しないインタフェースでは認証パスワードを設定する必要はありません。認証パスワードの設定はインタフェースコンフィグレーションモードで次のコマンドを入力します。

平文パスワード

平文パスワードの設定

(config)#interface < interface-name >
(config-if)#ip ospf authentication-key < password >

< interface-name > : インタフェース名
< password > : 認証パスワード

メッセージダイジェスト

メッセージダイジェストパスワードの設定

(config)#interface < interface-name >
(config-if)#ip ospf message-digest-key < key-id > md5 < password >

< interface-name > : インタフェース名
< key-id > : キーID
< password > : 認証パスワード

メッセージダイジェスト認証では、ネイバー同士で同じキーIDとパスワードの設定をしなければいけません。

バーチャルリンクでの認証パスワード

バーチャルリンクは仮想的なOSPFのエリア0のインタフェースで、物理的なインタフェースとの関連は固定ではありません。そのため、バーチャルリンクでのネイバー認証のパスワードは、上記のインタフェースコンフィグレーションモードで設定できません。バーチャルリンクの設定コマンドのオプションとして設定してください。

平文パスワード(バーチャルリンク)
平文パスワード(バーチャルリンク)

(config)#router ospf < process-id >
(config-router)#area < area-id > virtual-link < router-id > authentication-key < password >

< process-id > : OSPFプロセスID
< area-id > : バーチャルリンクのトランジットエリアのエリアID
< router-id > : バーチャルリンクの対向ルータのルータID
< password > : 認証パスワード

メッセージダイジェスト(バーチャルリンク)
メッセージダイジェスト(バーチャルリンク)

(config)#router ospf < process-id >
(config-router)#area < area-id > virtual-link < router-id > message-digest-key < key-id > md5 < password >

< process-id > : OSPFプロセスID
< area-id > : バーチャルリンクのトランジットエリアのエリアID
< router-id > : バーチャルリンクの対向ルータのルータID
< key-id > : キーID
< password > : 認証パスワード

OSPFネイバー認証の確認

以下の表にOSPFのネイバー認証を確認するための主なコマンドをまとめています。

コマンド内容
#show ip ospf interfaceネイバー認証が有効になっているかどうかがわかります。
#show ip ospf neighbor認証の設定が正しければ、正常にネイバーを確立することができます。
表 OSPFネイバー認証の主な確認コマンド

OSPFの仕組み