概要

ネイバー認証によって、正規のルータとのみネイバーを確立できるようにします。NamedモードでのEIGRPネイバー認証の設定と確認コマンドについて解説します。Namedモードでは、MD5だけではなくSHA-256のハッシュ関数を利用できます。

図 ネイバー認証
図 ネイバー認証

EIGRPネイバー認証(Namedモード)の設定と確認コマンド

Namedモードでのネイバー認証の種類

EIGRP Namedモードでは、ネイバー認証として次の2通りの設定が可能です。

  • MD5
  • SHA-256

Namedモードでは、ネイバー認証に利用するパスワードのハッシュ関数としてMD5よりもセキュアなSHA-256を利用できます。

ネイバー認証(MD5)の設定コマンド

MD5のネイバー認証を行うにはクラシックモードのときと同じようにキーチェインを作成します。

キーチェインの作成

(config)#key chain <key-chain-name>
(config-keychain)#key <id>
(config-keychain-key)#key-string <password>

<key-chain-name> : キーチェイン名
<id> : キーID
<password> : パスワード

そして、MD5のネイバー認証を有効にします。さらに、認証に利用するキーチェインを関連付けます。これらの設定は、address-family ipv4 unicast内のaf-interfaceのコンフィグレーションモードで行います。

MD5 ネイバー認証の設定 Namedモード

(config)#router eigrp <instance-name>
(config-router)#address-family ipv4 unicast autonomous-system <AS>
(config-router-af)#af-interface <interface-name>
(config-router-af-interface)#authentication mode md5
(config-router-af-interface)#authentication key-chain <key-chain-name>

<instance-name> : EIGRPインスタンス名
<AS> : AS番号
<interface-name> : インタフェース名
<key-chain-name> : キーチェイン名

ネイバー認証(SHA-256)の設定コマンド

SHA-256のネイバー認証は、address-family ipv4 unicast内のaf-interfaceのコンフィグレーションモードで以下のコマンドを利用します。

SHA-256 ネイバー認証

(config)#router eigrp <instance-name>
(config-router)#address-family ipv4 unicast autonomous-system <AS>
(config-router-af)#af-interface <interface-name>
(config-router-af-interface)#authentication mode hmac-sha-256 <password>

<instance-name> : EIGRPインスタンス名
<AS> : AS番号
<interface-name> : インタフェース名
<password> : パスワード

ネイバー認証の確認

EIGRPネイバー認証を確認するためには、以下のコマンドを利用します。

コマンド概要
#show key chainキーチェインを表示します。
#show ip eigrp interface detailEIGRPが有効なインタフェースの詳細を表示します。
#show ip eigrp neighorEIGRPネイバーを表示します。
表 EIGRPネイバー認証 確認コマンド

show key chain

show key chainコマンドで、キーチェインの詳細を表示します。各キーの有効期限もわかります。

show key chain

R1-IOU#show key chain
Key-chain EIGRP-KEY:
    key 1 -- text "cisco"
        accept lifetime (always valid) - (always valid) [valid now]
        send lifetime (always valid) - (always valid) [valid now]

show ip eigrp interface detail

show ip eigrp interface detailコマンドで、EIGRPが有効なインタフェースの詳細を表示します。ネイバー認証が有効かどうかも表示されます。

show ip eigrp interface detail

R1-IOU#show ip eigrp interfaces detail Ethernet0/0
EIGRP-IPv4 Interfaces for AS(1)
                              Xmit Queue   PeerQ        Mean   Pacing Time   Multicast    Pending
Interface              Peers  Un/Reliable  Un/Reliable  SRTT   Un/Reliable   Flow Timer   Routes
Et0/0                    1        0/0       0/0           8       0/2           50           0
  Hello-interval is 5, Hold-time is 15
  Split-horizon is enabled
  Next xmit serial 
  Packetized sent/expedited: 4/0
  Hello's sent/expedited: 198/3
  Un/reliable mcasts: 0/4  Un/reliable ucasts: 6/4
  Mcast exceptions: 0  CR packets: 0  ACKs suppressed: 0
  Retransmissions sent: 2  Out-of-sequence rcvd: 0
  Topology-ids on interface - 0
  Authentication mode is md5,  key-chain is "EIGRP-KEY"

show ip eigrp neighbor

show ip eigrp neighborコマンドで、ネイバーを表示します。ネイバーを確立できていればネイバー認証は正常に動作しています。

show key chain

show key chainコマンドで、キーチェインの詳細を表示します。各キーの有効期限もわかります。

show key chain

R1-IOU#show key chain
Key-chain EIGRP-KEY:
    key 1 -- text "cisco"
        accept lifetime (always valid) - (always valid) [valid now]
        send lifetime (always valid) - (always valid) [valid now]

show ip eigrp interface detail

show ip eigrp interface detailコマンドで、EIGRPが有効なインタフェースの詳細を表示します。ネイバー認証が有効かどうかも表示されます。

show ip eigrp interface detail

R1-IOU#show ip eigrp interfaces detail Ethernet0/0
EIGRP-IPv4 Interfaces for AS(1)
                              Xmit Queue   PeerQ        Mean   Pacing Time   Multicast    Pending
Interface              Peers  Un/Reliable  Un/Reliable  SRTT   Un/Reliable   Flow Timer   Routes
Et0/0                    1        0/0       0/0           8       0/2           50           0
  Hello-interval is 5, Hold-time is 15
  Split-horizon is enabled
  Next xmit serial 
  Packetized sent/expedited: 4/0
  Hello's sent/expedited: 198/3
  Un/reliable mcasts: 0/4  Un/reliable ucasts: 6/4
  Mcast exceptions: 0  CR packets: 0  ACKs suppressed: 0
  Retransmissions sent: 2  Out-of-sequence rcvd: 0
  Topology-ids on interface - 0
  Authentication mode is md5,  key-chain is "EIGRP-KEY"

show ip eigrp neighbor

show ip eigrp neighborコマンドで、ネイバーを表示します。ネイバーを確立できていればネイバー認証は正常に動作しています。

show ip eigrp neighbor

R1-IOU#show ip eigrp neighbors
EIGRP-IPv4 Neighbors for AS(1)
H   Address                 Interface              Hold Uptime   SRTT   RTO  Q  Seq
                                                   (sec)         (ms)       Cnt Num
0   192.168.12.2            Et0/0                    12 00:01:41    8   100  0  6

EIGRPネイバー認証(Namedモード)の設定例

ネットワーク構成

図  EIGRPネイバー認証(Namedモード)の設定例 ネットワーク構成
図 EIGRPネイバー認証(Namedモード)の設定例 ネットワーク構成

初期設定

初期設定として、R1/R2ともに基本的なNamedモードEIGRPの設定をしています。

R1 Initial Configuration

R1 Initial Configuration

interface Loopback0
 ip address 1.1.1.1 255.255.255.255
!
interface Ethernet0/0
 ip address 192.168.12.1 255.255.255.0
!
router eigrp EIGRP
 !
 address-family ipv4 unicast autonomous-system 1
  !
  topology base
  exit-af-topology
  network 1.1.1.1 0.0.0.0
  network 192.168.12.0
 exit-address-family

R2 Initial Configuration

R2 Initial Configuration

interface Loopback0
 ip address 2.2.2.2 255.255.255.255
!
interface Ethernet0/0
 ip address 192.168.12.2 255.255.255.0
!
router eigrp EIGRP
 !
 address-family ipv4 unicast autonomous-system 1
  !
  topology base
  exit-af-topology
  network 2.2.2.2 0.0.0.0
  network 192.168.12.0
 exit-address-family

EIGRPネイバー認証(MD5)の設定と確認

R1/R2でMD5ネイバー認証を有効にします。

キーチェイン名EIGRP-KEY
キーID1
パスワードcisco
表 キーチェインの設定

R1/R2ともにネイバー認証(MD5)の設定コマンドは同じです。

R1/R2 EIGRPネイバー認証の設定

key chain EIGRP-KEY
 key 1
  key-string cisco
!
router eigrp EIGRP
 address-family ipv4 unicast autonomous-system 1
  af-interface Ethernet0/0
   authentication mode md5
   authentication key-chain EIGRP-KEY

ネイバー認証が正常に動作していることを確認するために、以下のコマンドを実行します。

  • show key chain
  • show ip eigrp interface detail Ethernet0/0
  • show ip eigrp neighbor

R1では、次のような表示です。

R1 ネイバー認証の確認

R1-IOU#show key chain
Key-chain EIGRP-KEY:
    key 1 -- text "cisco"
        accept lifetime (always valid) - (always valid) [valid now]
        send lifetime (always valid) - (always valid) [valid now]
R1-IOU#show ip eigrp interface detail Ethernet0/0
EIGRP-IPv4 Interfaces for AS(1)
                              Xmit Queue   PeerQ        Mean   Pacing Time   Multicast    Pending
Interface              Peers  Un/Reliable  Un/Reliable  SRTT   Un/Reliable   Flow Timer   Routes
Et0/0                    1        0/0       0/0           8       0/2           50           0
  Hello-interval is 5, Hold-time is 15
  Split-horizon is enabled
  Next xmit serial 
  Packetized sent/expedited: 4/0
  Hello's sent/expedited: 247/3
  Un/reliable mcasts: 0/4  Un/reliable ucasts: 6/4
  Mcast exceptions: 0  CR packets: 0  ACKs suppressed: 0
  Retransmissions sent: 2  Out-of-sequence rcvd: 0
  Topology-ids on interface - 0
  Authentication mode is md5,  key-chain is "EIGRP-KEY"
R1-IOU#show ip eigrp neighbor
EIGRP-IPv4 Neighbors for AS(1)
H   Address                 Interface              Hold Uptime   SRTT   RTO  Q  Seq
                                                   (sec)         (ms)       Cnt Num
0   192.168.12.2            Et0/0                    14 00:04:02    8   100  0  6

R1-R2間でEIGRPネイバーが確立しているので、お互いのLoopback0の通信ができます。

通信確認

R1-IOU#show ip route eigrp
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
       a - application route
       + - replicated route, % - next hop override

Gateway of last resort is not set

      2.0.0.0/32 is subnetted, 1 subnets
D        2.2.2.2 [90/409600] via 192.168.12.2, 00:04:59, Ethernet0/0
R1-IOU#ping 2.2.2.2 source lo0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2.2.2.2, timeout is 2 seconds:
Packet sent with a source address of 1.1.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/5 ms
図 EIGRP Namedモード ネイバー認証 MD5
図 EIGRP Namedモード ネイバー認証 MD5

EIGRPネイバー認証(SHA-256)の設定と確認

R1/R2のネイバー認証をMD5からSHA-256に変更します。パスワードは「cisco」とします。R1/R2の設定は以下です。

R1/R2 EIGRPネイバー認証の設定 SHA-256に変更

no key chain EIGRP-KEY
!
router eigrp EIGRP
 address-family ipv4 unicast autonomous-system 1
  af-interface Ethernet0/0
   authentication mode hmac-sha-256 cisco
   no authentication key-chain EIGRP-KEY

ネイバー認証が正常に動作していることを確認するために、以下のコマンドを実行します。

  • show ip eigrp interface detail Ethernet0/0
  • show ip eigrp neighbor

R1では、次のような表示です。

R1 ネイバー認証の確認

R1-IOU#show ip eigrp interfaces detail Ethernet0/0
EIGRP-IPv4 VR(EIGRP) Address-Family Interfaces for AS(1)
                              Xmit Queue   PeerQ        Mean   Pacing Time   Multicast    Pending
Interface              Peers  Un/Reliable  Un/Reliable  SRTT   Un/Reliable   Flow Timer   Routes
Et0/0                    1        0/0       0/0          13       0/2           60           0
  Hello-interval is 5, Hold-time is 15
  Split-horizon is enabled
  Next xmit serial 
  Packetized sent/expedited: 4/0
  Hello's sent/expedited: 751/4
  Un/reliable mcasts: 0/6  Un/reliable ucasts: 7/5
  Mcast exceptions: 0  CR packets: 0  ACKs suppressed: 0
  Retransmissions sent: 2  Out-of-sequence rcvd: 2
  Topology-ids on interface - 0
  Authentication mode is HMAC-SHA-256, key-chain is not set
R1-IOU#show ip eigrp neighbors
EIGRP-IPv4 VR(EIGRP) Address-Family Neighbors for AS(1)
H   Address                 Interface              Hold Uptime   SRTT   RTO  Q  Seq
                                                   (sec)         (ms)       Cnt Num
0   192.168.12.2            Et0/0                    14 00:01:02   13   100  0  29

R1-R2間でEIGRPネイバーが確立しているので、お互いのLoopback0の通信ができます。

R1 通信確認

R1-IOU#show ip route eigrp
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
       a - application route
       + - replicated route, % - next hop override

Gateway of last resort is not set

      2.0.0.0/32 is subnetted, 1 subnets
D        2.2.2.2 [90/409600] via 192.168.12.2, 00:04:59, Ethernet0/0
R1-IOU#ping 2.2.2.2 source lo0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2.2.2.2, timeout is 2 seconds:
Packet sent with a source address of 1.1.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/5 ms
 図 EIGRP Namedモード ネイバー認証 SHA-256
図 EIGRP Namedモード ネイバー認証 SHA-256

まとめ

ポイント

  • EIGRP Namedモードでは、ハッシュ関数としてMD5、SHA-256を利用したネイバー認証が可能です。
  • Namedモードのネイバー認証の設定は、主にaddress-family ipv4 unicast内のaf-interfaceのコンフィグレーションモードで行います。