OSPFネイバー認証の落とし穴 バーチャルリンク

バーチャルリンクが存在するときにエリア0でネイバー認証を有効化する場合、十分に気をつけなくてはいけません。バーチャルリンクは仮想的なエリア0のリンクです。エリア0でネイバー認証を有効化すると、バーチャルリンクでもネイバー認証が有効になります。そのため、エリア0に物理的に接続していないバーチャルリンクのエンドポイントのルータでもネイバー認証を有効にしなければいけません。

図 バーチャルリンクでのネイバー認証の注意点
図 バーチャルリンクでのネイバー認証の注意点

バーチャルリンクとネイバー認証 設定例

以下のネットワーク構成で、バーチャルリンクとネイバー認証について考えます。

図 バーチャルリンクでのネイバー認証 ネットワーク構成
図 バーチャルリンクでのネイバー認証 ネットワーク構成

ネイバー認証を有効化する前

R1-R2間でバーチャルリンクを設定して、エリア2がバックボーンエリアに仮想的に隣接するようにしています。

R1

router ospf 1
 router-id 1.1.1.1
 area 1 virtual-link 2.2.2.2

R2

router ospf 1
 router-id 2.2.2.2
 area 1 virtual-link 1.1.1.1

show ip ospf virtual-linksコマンドを見ると、バーチャルリンクが正常に確立していることがよくわかります。

R1#show ip ospf virtual-links
Virtual Link OSPF_VL0 to router 2.2.2.2 is up
  Run as demand circuit
  DoNotAge LSA allowed.
  Transit area 1, via interface FastEthernet1/0, Cost of using 1
  Transmit Delay is 1 sec, State POINT_TO_POINT,
  Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
    Hello due in 00:00:02
    Adjacency State FULL (Hello suppressed)
    Index 1/2, retransmission queue length 0, number of retransmission 1
    First 0x0(0)/0x0(0) Next 0x0(0)/0x0(0)
    Last retransmission scan length is 1, maximum is 1
    Last retransmission scan time is 0 msec, maximum is 0 msec

バーチャルリンクが正常に確立できているので、エリア0の10.1.4.0/24とエリア2の10.1.3.0/24間の通信が可能です。

R4#show ip route ospf
     10.0.0.0/24 is subnetted, 5 subnets
O IA    10.1.12.0 [110/2] via 10.1.14.1, 00:09:00, FastEthernet0/0
O IA    10.1.3.0 [110/4] via 10.1.14.1, 00:09:00, FastEthernet0/0
O IA    10.1.23.0 [110/3] via 10.1.14.1, 00:09:00, FastEthernet0/0
R4#ping 10.1.3.3 source 10.1.4.4

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.3.3, timeout is 2 seconds:
Packet sent with a source address of 10.1.4.4
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 60/88/112 ms----

エリア0でネイバー認証を有効化

エリア0のR1とR4でネイバー認証を有効化します。設定を簡素化するために、平文パスワード認証を有効にして、パスワードは「cisco」とします。

R1/R4

interface FastEthernet0/0
 ip ospf authentication-key cisco
!
router ospf 1
 area 0 authentication

ネイバー認証を有効化したあと、R1でshow ip ospf virtual-linksコマンドを確認します。

R1

R1#show ip ospf virtual-links
Virtual Link OSPF_VL0 to router 2.2.2.2 is up
  Run as demand circuit
  DoNotAge LSA allowed.
  Transit area 1, via interface FastEthernet1/0, Cost of using 1
  Transmit Delay is 1 sec, State POINT_TO_POINT,
  Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
    Hello due in 00:00:04
  Simple password authentication enabled

バーチャルリンクの仮想的なインタフェースのOSPF_VL0はup/upですが、バーチャルリンク上でアジャセンシーを確立できていません。また、OSPF_VL0で平文パスワードの認証が有効化されていることがわかります。冒頭で述べたように、エリア0でネイバー認証を有効化すると、バーチャルリンク上でも認証が有効になります。

また、バーチャルリンクのR1の対向になるR2でもshow ip ospf virtual-linksコマンドを確認します。

R2

R2#show ip ospf virtual-links
Virtual Link OSPF_VL0 to router 1.1.1.1 is up
  Run as demand circuit
  DoNotAge LSA allowed.
  Transit area 1, via interface FastEthernet0/0, Cost of using 1
  Transmit Delay is 1 sec, State POINT_TO_POINT,
  Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
    Hello due in 00:00:00

R2のOSPF_VL0ではネイバー認証が有効化されていません。R1とR2のバーチャルリンク上でのネイバー認証の設定が一致していないため、アジャセンシーを確立できずにバーチャルリンクが機能していません。そのため、エリア0とエリア2間の通信ができません。

R4

R4#show ip route ospf
     10.0.0.0/24 is subnetted, 3 subnets
O IA    10.1.12.0 [110/2] via 10.1.14.1, 00:06:03, FastEthernet0/0
R4#ping 10.1.3.3 source 10.1.4.4

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.3.3, timeout is 2 seconds:
Packet sent with a source address of 10.1.4.4
.....
Success rate is 0 percent (0/5)

エリア0でネイバー認証を有効化したら、エリア0に物理的に接続していないバーチャルリンクのエンドポイントルータでも認証を有効にしないといけません。

バーチャルリンク上でネイバー認証を有効化

エリア0に物理的に接続していないバーチャルリンクのエンドポイントになるR2でネイバー認証を有効化します。認証パスワードは「cisco」とします。認証パスワードの設定は、R1でも行います。

R1

router ospf 1
 area 1 virtual-link 2.2.2.2 authentication-key cisco

R2

router ospf 1
 area 0 authentication
 area 1 virtual-link 1.1.1.1 authentication-key cisco

図では、認証パスワードの設定は省略しています。

バーチャルリンク上でのネイバー認証を正しく設定できれば、show ip ospf virtual-linksコマンドは以下のようになります。

R1

R1#show ip ospf virtual-links
Virtual Link OSPF_VL0 to router 2.2.2.2 is up
  Run as demand circuit
  DoNotAge LSA allowed.
  Transit area 1, via interface FastEthernet1/0, Cost of using 1
  Transmit Delay is 1 sec, State POINT_TO_POINT,
  Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
    Hello due in 00:00:01
    Adjacency State FULL (Hello suppressed)
    Index 1/2, retransmission queue length 0, number of retransmission 0
    First 0x0(0)/0x0(0) Next 0x0(0)/0x0(0)
    Last retransmission scan length is 0, maximum is 0
    Last retransmission scan time is 0 msec, maximum is 0 msec
  Simple password authentication enabled

R2

R2#show ip ospf virtual-links
Virtual Link OSPF_VL0 to router 1.1.1.1 is up
  Run as demand circuit
  DoNotAge LSA allowed.
  Transit area 1, via interface FastEthernet0/0, Cost of using 1
  Transmit Delay is 1 sec, State POINT_TO_POINT,
  Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
    Hello due in 00:00:02
    Adjacency State FULL (Hello suppressed)
    Index 1/2, retransmission queue length 0, number of retransmission 0
    First 0x0(0)/0x0(0) Next 0x0(0)/0x0(0)
    Last retransmission scan length is 0, maximum is 0
    Last retransmission scan time is 0 msec, maximum is 0 msec
  Simple password authentication enabled

バーチャルリンクが正常に確立できていると、エリア0とエリア2間の通信ができます。

R4#show ip route ospf
     10.0.0.0/24 is subnetted, 5 subnets
O IA    10.1.12.0 [110/2] via 10.1.14.1, 00:09:00, FastEthernet0/0
O IA    10.1.3.0 [110/4] via 10.1.14.1, 00:09:00, FastEthernet0/0
O IA    10.1.23.0 [110/3] via 10.1.14.1, 00:09:00, FastEthernet0/0
R4#ping 10.1.3.3 source 10.1.4.4

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.3.3, timeout is 2 seconds:
Packet sent with a source address of 10.1.4.4
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 60/88/112 ms

OSPFの仕組み