Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

RIP 認証

RIP 認証について

RIPv2は、RIPリンクがアクティブになる前に認証キー(パスワード)を必要とできるように、認証サポートを提供します。認証は、他のセキュリティ機能を超えて、ネットワーク上のセキュリティレイヤーを追加します。デフォルトでは、この認証は無効になっています。

認証キーはプレーンテキストまたはMD5形式で指定できます。認証には、RIPネットワークまたはサブネットワーク内のすべてのルーターに、同じ認証タイプとキー(パスワード)が設定されている必要があります。

このタイプの認証は、RIPv1ネットワークではサポートされていません。

MD5 認証では、送信パケットに含まれるエンコードされた MD5 チェックサムを使用します。MD5認証を機能させるには、送受信するルーティングデバイスの両方に同じMD5キーが必要です。各インターフェイスにMD5キーを定義します。インターフェイスでMD5が有効になっている場合、そのインターフェイスはMD5認証に成功した場合にのみルーティング更新を受け入れます。それ以外の場合、更新は拒否されます。ルーティングデバイスは、そのインターフェイスに定義された同じキー識別子(ID)を使用して送信されたRIPv2パケットのみを受け入れます。Junos OS Release 20.3R1以降、RIPv2向けに複数のMD5認証キーをサポートし、セキュリティを強化します。これにより、MD5キーの追加がサポートされています start-time。RIPv2パケットは、最初に設定されたキーを使用して、MD5認証で送信されます。RIPv2認証スイッチは、設定されたキーに基づいて次のキーに切り替えます start-time。これにより、1つのMD5キーを持つ場合と同様に、ユーザーの介入なしで、MD5キーを変更する自動キースイッチングが提供されます。

このトピックで説明するRIPv2認証は、Junos OSリリース15.1X49、15.1X49-D30、または15.1X49-D40ではサポートされていないことに注意してください。

プレーンテキストパスワードによる認証の有効化

送信パケットにプレーンテキスト パスワードを含める必要がある認証を構成するには、ネットワーク内のすべての RIP デバイスで次の手順を実行して、シンプルな認証を有効にします。

  1. 設定階層の最上位に移動します。
  2. 表 1 に示す設定タスクを実行します。
  3. ルーターの設定が完了したら、設定をコミットします。
表 1: 簡易 RIP 認証の設定

タスク

CLI 設定エディター

設定階層で Rip レベルに移動します。

[edit]階層レベルから、

編集プロトコルのリッピング

認証タイプを シンプルに設定します。

認証タイプを シンプルに設定します。

set authentication-type simple

認証キーをシンプルテキストパスワードに設定します。

パスワードは、連続した 1~16 文字の長さと、任意の ASCII 文字列を含めることができます。

認証キーをシンプルテキストパスワードに設定します。

set authentication-key password

例:単一の MD5 キーを使用した RIP のルート認証の設定

この例では、RIP ネットワークの認証を構成する方法を示します。

要件

この例を設定する前に、デバイス初期化以外の特別な設定は必要ありません。

概要

ルーターは、RIP ルート クエリを認証するように設定できます。デフォルトでは、認証は無効になっています。以下の認証方法のいずれかを使用できます。

  • シンプル認証—送信パケットに含まれるテキスト パスワードを使用します。受信ルーターは、認証キー(パスワード)を使用してパケットを検証します。

  • MD5認証—送信パケットに含まれるエンコード済みチェックサムを作成します。受信ルーターは、認証キー(パスワード)を使用してパケットの MD5 チェックサムを検証します。

この例では、MD5認証を示しています。

図 1 は、この例で使用したトポロジーを示しています。

図 1:RIP 認証ネットワーク トポロジー RIP Authentication Network Topology

CLI クイック設定 は、 図 1 にすべてのデバイスの設定を示しています。セクション #d59e69__d59e238 では、デバイス R1 の手順について説明します。

トポロジ

構成

手順

CLI クイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更してから、 階層レベルの CLI にコマンドを [edit] コピー アンド ペーストします。

デバイス R1

デバイスR2

デバイスR3

手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。CLIのナビゲーションについては、 CLIユーザーガイドの設定モードでのCLIエディターの使用を参照してください。

RIP認証を設定するには:

  1. ネットワーク インターフェイスを設定します。

    この例では、複数のループバックインターフェイスアドレスを示し、接続されたネットワークをシミュレートします。

  2. RIP グループを作成し、インターフェイスを追加します。

    Junos OS で RIP を設定するには、RIP が有効になっているインターフェイスを含むグループを設定する必要があります。ループバック インターフェイスで RIP を有効にする必要はありません。

  3. 直接ルートと RIP 学習ルートの両方をアドバタイズするルーティング ポリシーを作成します。

  4. ルーティング ポリシーを適用します。

    Junos OS では、RIP エクスポート ポリシーはグループ レベルでのみ適用できます。

  5. インターフェイスで受信したRIPルートクエリーには、MD5認証が必要です。

    パスワードは、隣接する RIP ルーターで一致する必要があります。パスワードが一致しない場合、パケットは拒否されます。パスワードは、連続した 1~16 文字の長さと、任意の ASCII 文字列を含めることができます。

    ここに示すように、パスワードを入力しないでください。ここに示すパスワードは、実際のパスワードが既に設定された後、設定に表示される暗号化されたパスワードです。

  6. トレース操作を構成して、認証を追跡します。

結果

設定モードから、 、 、 show protocolsコマンドを入力して設定をshow interfacesshow policy-options確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから コミット を入力します。

検証

設定が正しく機能していることを確認します。

認証エラーのチェック

目的

認証エラーがないことを確認します。

アクション

動作モードから、 コマンドを show rip statistics 入力します。

意味

出力では、認証エラーがないことを示しています。

RIP アップデート パケットで MD5 認証が有効になっていることを確認する

目的

トレース操作を使用して、RIP アップデートで MD5 認証が有効になっていることを確認します。

アクション

動作モードから、 コマンドを show log 入力します。

意味

(MD5が必要)の出力は、すべてのルート更新にMD5認証が必要であることを示しています。

例:複数の MD5 鍵を使用した RIP のルート認証の構成

この例では、複数の MD5 キーを使用して RIP ネットワークの認証を構成する方法と、RIP インターフェイス上で MD5 鍵の遷移を構成する方法を示します。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • ACX シリーズ ルーター 3 台

  • Junos OS リリース 20.3 以降

概要

MD5 認証では、送信パケットに含まれるエンコードされた MD5 チェックサムを使用します。MD5認証を機能させるには、送受信するルーティングデバイスの両方に同じMD5キーが必要です。

各インターフェイスにMD5キーを定義します。インターフェイスでMD5が有効になっている場合、そのインターフェイスはMD5認証に成功した場合にのみルーティング更新を受け入れます。それ以外の場合、更新は拒否されます。ルーティングデバイスは、そのインターフェイスに定義された同じキー識別子(ID)を使用して送信されたRIPv2パケットのみを受け入れます。

セキュリティを強化するために、複数のMD5キーを設定し、それぞれ固有のキーIDを設定し、新しいキーに切り替える日付と時刻を設定できます。RIPv2パケットの受信者は、IDを使用して、認証に使用するキーを決定します。複数のMD5キー機能を備えたRIPv2は、開始時にMD5キーを追加することをサポートしています。RIPv2パケットは、最初に設定されたキーを使用して、MD5認証で送信されます。RIPv2認証は、対応するキーの開始時間に基づいて、次のキーに切り替えます。これにより、ユーザーの介入なしに、1つのMD5キーを持つ場合と同様に、MD5キーを変更する自動キースイッチングが提供されます。

この例では、RIPv2複合MD5キー認証を示しています。

図 2 は、この例で使用したトポロジーを示しています。

図 2:複数の MD5 キーを使用した RIP 認証のネットワーク トポロジー Network Topology for RIP Authentication using multiple MD5 keys

CLIクイックコンフィギュレーション は、 図2のすべてのデバイスの設定を示しています。 セクション CLI クイック設定 では、デバイス R1 の手順について説明します。

構成

手順

CLI クイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更してから、 階層レベルの CLI にコマンドを [edit] コピー アンド ペーストします。

デバイス R1

デバイスR2

デバイスR3

手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。CLIのナビゲーションについては、 CLIユーザーガイドの設定モードでのCLIエディターの使用を参照してください。

RIP認証を設定するには:

  1. ネットワーク インターフェイスを設定します。

    この例では、複数のループバックインターフェイスアドレスを示し、接続されたネットワークをシミュレートします。

  2. RIP グループを作成し、インターフェイスを追加します。

    Junos OS で RIP を設定するには、RIP が有効になっているインターフェイスを含むグループを設定する必要があります。ループバック インターフェイスで RIP を有効にする必要はありません。

  3. 直接ルートと RIP 学習ルートの両方をアドバタイズするルーティング ポリシーを作成します。

  4. ルーティング ポリシーを適用します。

    Junos OS では、RIP エクスポート ポリシーはグループ レベルでのみ適用できます。

  5. 異なるキー ID を使用することで、複数の MD5 キーを設定できます。鍵 ID は、隣接する RIP ルーターの鍵 ID と一致する必要があります。ルーターが、設定されたキーセット内にないキーIDを持つパケットを受信した場合、パケットは拒否され、認証エラーと見なされます。

    キーIDは、MD5キーを一意に識別する0~255の数字を、キー値は最大16文字のASCII文字列にすることができます。

    ここに示すように、パスワードを入力しないでください。ここに示すパスワードは、実際のパスワードが既に設定された後、設定に表示される暗号化されたパスワードです。

    authentication-selective-md5 繰り返して複数のキーを設定できます。

  6. 既存のmd5認証キーから移行したい場合は、リンク上のすべてのルーターを設定できるように、将来の開始時間に十分な余裕を持って別のキーを設定できます。新しいキーへの移行は開始時間に基づき、クロックが開始時間に達するとすぐに開始されます。以下のコマンドを入力すると、無効になったキーを削除できます。

    メモ:

    開始時間は送信にのみ関連し、RIPv2パケットの受信には関連しません。受信したパケットの受け入れは、設定されたキーに基づいています。

    たとえば、現在の時刻が 2020 年 2 月 1 日午前 1:00 で、次のキーが設定されている場合です。

    3月2日午前2時にこのキーから別のキーに移行し、リンク上のすべてのルーターを新しいキーで同時に設定できる場合は、次のキーを設定できます。

    午前 2:00 に、すべてのルーターが新しい鍵に切り替えると、次のコマンドを入力することで、ID 2 で鍵を安全に削除できます。

  7. アクティブキーの削除:最後のアクティブなキーを削除すると、システムは現在の設定を確認し、RIPv2パケット送信用に既存の設定内の最新のキーIDを持つキーを使用します。

    例えば、キーIDで以下のキーを設定した場合:

    この設定のアクティブキーは、鍵ID 4を持つキーであり、RIPv2パケットを送信するために使用されます。アクティブなキーID 4を削除すると、システムは現在の設定を確認し、最新の開始時間(ID 3を持つキー)を探し、パケット送信に使用します。

  8. トレース操作を構成して、認証を追跡します。

結果

設定モードから、 、 、 show protocolsコマンドを入力して設定をshow interfacesshow policy-options確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから コミット を入力します。

検証

設定が正しく機能していることを確認します。

認証エラーのチェック

目的

認証失敗カウンターを確認するには。

アクション

動作モードから、 コマンドを show rip statistics 入力します。

意味

カウンターには Authentication Failures 、認証失敗数が表示されます。この出力は、認証失敗数が 23853 であることを示しています。

現在アクティブな MD5 キーのチェック。

目的

使用されている現在のアクティブなキーを確認します。

アクション

動作モードから、 コマンドを show rip neighbor fe-1/2/0 入力します。

RIP アップデート パケットで MD5 認証が有効になっていることを確認する

目的

トレース操作を使用して、RIP アップデートで MD5 認証が有効になっていることを確認します。

アクション

動作モードから、 コマンドを show log 入力します。

意味

(MD5が必要)の出力は、すべてのルート更新にMD5認証が必要であることを示しています。

リリース履歴テーブル
リリース
説明
20.3R1
Junos OSリリース20.3R1以降、RIPv2用の複数のMD5認証キーをサポートし、セキュリティを強化します。
15.1X49
このトピックで説明するRIPv2認証は、Junos OSリリース15.1X49、15.1X49-D30、または15.1X49-D40ではサポートされていないことに注意してください。