目次
概要
ネイバー認証によって、正規のルータとのみネイバーを確立できるようにします。NamedモードでのEIGRPネイバー認証の設定と確認コマンドについて解説します。Namedモードでは、MD5だけではなくSHA-256のハッシュ関数を利用できます。
関連記事
EIGRPネイバー認証(Namedモード)の設定と確認コマンド
Namedモードでのネイバー認証の種類
EIGRP Namedモードでは、ネイバー認証として次の2通りの設定が可能です。
- MD5
- SHA-256
Namedモードでは、ネイバー認証に利用するパスワードのハッシュ関数としてMD5よりもセキュアなSHA-256を利用できます。
ネイバー認証(MD5)の設定コマンド
MD5のネイバー認証を行うにはクラシックモードのときと同じようにキーチェインを作成します。
キーチェインの作成
(config)#key chain <key-chain-name>
(config-keychain)#key <id>
(config-keychain-key)#key-string <password>
<key-chain-name> : キーチェイン名
<id> : キーID
<password> : パスワード
そして、MD5のネイバー認証を有効にします。さらに、認証に利用するキーチェインを関連付けます。これらの設定は、address-family ipv4 unicast内のaf-interfaceのコンフィグレーションモードで行います。
MD5 ネイバー認証の設定 Namedモード
(config)#router eigrp <instance-name>
(config-router)#address-family ipv4 unicast autonomous-system <AS>
(config-router-af)#af-interface <interface-name>
(config-router-af-interface)#authentication mode md5
(config-router-af-interface)#authentication key-chain <key-chain-name>
<instance-name> : EIGRPインスタンス名
<AS> : AS番号
<interface-name> : インタフェース名
<key-chain-name> : キーチェイン名
ネイバー認証(SHA-256)の設定コマンド
SHA-256のネイバー認証は、address-family ipv4 unicast内のaf-interfaceのコンフィグレーションモードで以下のコマンドを利用します。
SHA-256 ネイバー認証
(config)#router eigrp <instance-name>
(config-router)#address-family ipv4 unicast autonomous-system <AS>
(config-router-af)#af-interface <interface-name>
(config-router-af-interface)#authentication mode hmac-sha-256 <password>
<instance-name> : EIGRPインスタンス名
<AS> : AS番号
<interface-name> : インタフェース名
<password> : パスワード
ネイバー認証の確認
EIGRPネイバー認証を確認するためには、以下のコマンドを利用します。
コマンド | 概要 |
---|---|
#show key chain | キーチェインを表示します。 |
#show ip eigrp interface detail | EIGRPが有効なインタフェースの詳細を表示します。 |
#show ip eigrp neighor | EIGRPネイバーを表示します。 |
show key chain
show key chainコマンドで、キーチェインの詳細を表示します。各キーの有効期限もわかります。
show key chain
R1-IOU#show key chain Key-chain EIGRP-KEY: key 1 -- text "cisco" accept lifetime (always valid) - (always valid) [valid now] send lifetime (always valid) - (always valid) [valid now]
show ip eigrp interface detail
show ip eigrp interface detailコマンドで、EIGRPが有効なインタフェースの詳細を表示します。ネイバー認証が有効かどうかも表示されます。
show ip eigrp interface detail
R1-IOU#show ip eigrp interfaces detail Ethernet0/0 EIGRP-IPv4 Interfaces for AS(1) Xmit Queue PeerQ Mean Pacing Time Multicast Pending Interface Peers Un/Reliable Un/Reliable SRTT Un/Reliable Flow Timer Routes Et0/0 1 0/0 0/0 8 0/2 50 0 Hello-interval is 5, Hold-time is 15 Split-horizon is enabled Next xmit serialPacketized sent/expedited: 4/0 Hello's sent/expedited: 198/3 Un/reliable mcasts: 0/4 Un/reliable ucasts: 6/4 Mcast exceptions: 0 CR packets: 0 ACKs suppressed: 0 Retransmissions sent: 2 Out-of-sequence rcvd: 0 Topology-ids on interface - 0 Authentication mode is md5, key-chain is "EIGRP-KEY"
show ip eigrp neighbor
show ip eigrp neighborコマンドで、ネイバーを表示します。ネイバーを確立できていればネイバー認証は正常に動作しています。
show key chain
show key chainコマンドで、キーチェインの詳細を表示します。各キーの有効期限もわかります。
show key chain
R1-IOU#show key chain Key-chain EIGRP-KEY: key 1 -- text "cisco" accept lifetime (always valid) - (always valid) [valid now] send lifetime (always valid) - (always valid) [valid now]
show ip eigrp interface detail
show ip eigrp interface detailコマンドで、EIGRPが有効なインタフェースの詳細を表示します。ネイバー認証が有効かどうかも表示されます。
show ip eigrp interface detail
R1-IOU#show ip eigrp interfaces detail Ethernet0/0 EIGRP-IPv4 Interfaces for AS(1) Xmit Queue PeerQ Mean Pacing Time Multicast Pending Interface Peers Un/Reliable Un/Reliable SRTT Un/Reliable Flow Timer Routes Et0/0 1 0/0 0/0 8 0/2 50 0 Hello-interval is 5, Hold-time is 15 Split-horizon is enabled Next xmit serialPacketized sent/expedited: 4/0 Hello's sent/expedited: 198/3 Un/reliable mcasts: 0/4 Un/reliable ucasts: 6/4 Mcast exceptions: 0 CR packets: 0 ACKs suppressed: 0 Retransmissions sent: 2 Out-of-sequence rcvd: 0 Topology-ids on interface - 0 Authentication mode is md5, key-chain is "EIGRP-KEY"
show ip eigrp neighbor
show ip eigrp neighborコマンドで、ネイバーを表示します。ネイバーを確立できていればネイバー認証は正常に動作しています。
show ip eigrp neighbor
R1-IOU#show ip eigrp neighbors EIGRP-IPv4 Neighbors for AS(1) H Address Interface Hold Uptime SRTT RTO Q Seq (sec) (ms) Cnt Num 0 192.168.12.2 Et0/0 12 00:01:41 8 100 0 6
EIGRPネイバー認証(Namedモード)の設定例
ネットワーク構成
初期設定
初期設定として、R1/R2ともに基本的なNamedモードEIGRPの設定をしています。
R1 Initial Configuration
R1 Initial Configuration
interface Loopback0 ip address 1.1.1.1 255.255.255.255 ! interface Ethernet0/0 ip address 192.168.12.1 255.255.255.0 ! router eigrp EIGRP ! address-family ipv4 unicast autonomous-system 1 ! topology base exit-af-topology network 1.1.1.1 0.0.0.0 network 192.168.12.0 exit-address-family
R2 Initial Configuration
R2 Initial Configuration
interface Loopback0 ip address 2.2.2.2 255.255.255.255 ! interface Ethernet0/0 ip address 192.168.12.2 255.255.255.0 ! router eigrp EIGRP ! address-family ipv4 unicast autonomous-system 1 ! topology base exit-af-topology network 2.2.2.2 0.0.0.0 network 192.168.12.0 exit-address-family
EIGRPネイバー認証(MD5)の設定と確認
R1/R2でMD5ネイバー認証を有効にします。
キーチェイン名 | EIGRP-KEY |
キーID | 1 |
パスワード | cisco |
R1/R2ともにネイバー認証(MD5)の設定コマンドは同じです。
R1/R2 EIGRPネイバー認証の設定
key chain EIGRP-KEY key 1 key-string cisco ! router eigrp EIGRP address-family ipv4 unicast autonomous-system 1 af-interface Ethernet0/0 authentication mode md5 authentication key-chain EIGRP-KEY
ネイバー認証が正常に動作していることを確認するために、以下のコマンドを実行します。
- show key chain
- show ip eigrp interface detail Ethernet0/0
- show ip eigrp neighbor
R1では、次のような表示です。
R1 ネイバー認証の確認
R1-IOU#show key chain Key-chain EIGRP-KEY: key 1 -- text "cisco" accept lifetime (always valid) - (always valid) [valid now] send lifetime (always valid) - (always valid) [valid now] R1-IOU#show ip eigrp interface detail Ethernet0/0 EIGRP-IPv4 Interfaces for AS(1) Xmit Queue PeerQ Mean Pacing Time Multicast Pending Interface Peers Un/Reliable Un/Reliable SRTT Un/Reliable Flow Timer Routes Et0/0 1 0/0 0/0 8 0/2 50 0 Hello-interval is 5, Hold-time is 15 Split-horizon is enabled Next xmit serialPacketized sent/expedited: 4/0 Hello's sent/expedited: 247/3 Un/reliable mcasts: 0/4 Un/reliable ucasts: 6/4 Mcast exceptions: 0 CR packets: 0 ACKs suppressed: 0 Retransmissions sent: 2 Out-of-sequence rcvd: 0 Topology-ids on interface - 0 Authentication mode is md5, key-chain is "EIGRP-KEY" R1-IOU#show ip eigrp neighbor EIGRP-IPv4 Neighbors for AS(1) H Address Interface Hold Uptime SRTT RTO Q Seq (sec) (ms) Cnt Num 0 192.168.12.2 Et0/0 14 00:04:02 8 100 0 6
R1-R2間でEIGRPネイバーが確立しているので、お互いのLoopback0の通信ができます。
通信確認
R1-IOU#show ip route eigrp Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP a - application route + - replicated route, % - next hop override Gateway of last resort is not set 2.0.0.0/32 is subnetted, 1 subnets D 2.2.2.2 [90/409600] via 192.168.12.2, 00:04:59, Ethernet0/0 R1-IOU#ping 2.2.2.2 source lo0 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 2.2.2.2, timeout is 2 seconds: Packet sent with a source address of 1.1.1.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/5 ms
EIGRPネイバー認証(SHA-256)の設定と確認
R1/R2のネイバー認証をMD5からSHA-256に変更します。パスワードは「cisco」とします。R1/R2の設定は以下です。
R1/R2 EIGRPネイバー認証の設定 SHA-256に変更
no key chain EIGRP-KEY ! router eigrp EIGRP address-family ipv4 unicast autonomous-system 1 af-interface Ethernet0/0 authentication mode hmac-sha-256 cisco no authentication key-chain EIGRP-KEY
ネイバー認証が正常に動作していることを確認するために、以下のコマンドを実行します。
- show ip eigrp interface detail Ethernet0/0
- show ip eigrp neighbor
R1では、次のような表示です。
R1 ネイバー認証の確認
R1-IOU#show ip eigrp interfaces detail Ethernet0/0 EIGRP-IPv4 VR(EIGRP) Address-Family Interfaces for AS(1) Xmit Queue PeerQ Mean Pacing Time Multicast Pending Interface Peers Un/Reliable Un/Reliable SRTT Un/Reliable Flow Timer Routes Et0/0 1 0/0 0/0 13 0/2 60 0 Hello-interval is 5, Hold-time is 15 Split-horizon is enabled Next xmit serialPacketized sent/expedited: 4/0 Hello's sent/expedited: 751/4 Un/reliable mcasts: 0/6 Un/reliable ucasts: 7/5 Mcast exceptions: 0 CR packets: 0 ACKs suppressed: 0 Retransmissions sent: 2 Out-of-sequence rcvd: 2 Topology-ids on interface - 0 Authentication mode is HMAC-SHA-256, key-chain is not set R1-IOU#show ip eigrp neighbors EIGRP-IPv4 VR(EIGRP) Address-Family Neighbors for AS(1) H Address Interface Hold Uptime SRTT RTO Q Seq (sec) (ms) Cnt Num 0 192.168.12.2 Et0/0 14 00:01:02 13 100 0 29
R1-R2間でEIGRPネイバーが確立しているので、お互いのLoopback0の通信ができます。
R1 通信確認
R1-IOU#show ip route eigrp Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP a - application route + - replicated route, % - next hop override Gateway of last resort is not set 2.0.0.0/32 is subnetted, 1 subnets D 2.2.2.2 [90/409600] via 192.168.12.2, 00:04:59, Ethernet0/0 R1-IOU#ping 2.2.2.2 source lo0 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 2.2.2.2, timeout is 2 seconds: Packet sent with a source address of 1.1.1.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/5 ms
まとめ
ポイント
- EIGRP Namedモードでは、ハッシュ関数としてMD5、SHA-256を利用したネイバー認証が可能です。
- Namedモードのネイバー認証の設定は、主にaddress-family ipv4 unicast内のaf-interfaceのコンフィグレーションモードで行います。