※このページで解説している内容は、Packet Tracer では検証することができません。実機における検証結果を紹介しています。

RIPv2(MD5認証)

 RIPv1では、認証をサポートしていませんが、RIPv2では、認証をサポートしています。アップデートを交換する際に認証を行うことができます。認証は、EIGRPやOSPFなどでもサポートされています。

 この認証を行うことで、不正なルータからのアップデートの偽造や改ざんによるネットワークの混乱を防御することができます。認証の設定をしているルータ同士のみがアップデートを交換するようになります。

RIPv2の認証方法には、2通りあります。

  • 平文認証
  • MD5認証

ここでは、RIPv2のMD5認証を設定し、検証してゆきます。

 MD5による認証は、MD5ハッシュアルゴリズムを用いたメッセージダイジェスト認証を行います。平文認証よりも安全な方法であるため、セキュリティを強化したい場合は、MD5認証を採用することが推奨されています。

まずは、下図のネットワークをRIPv2で設定します。

基本設定

各ルータの設定は下の通りです。

●基本コンフィグ

●R1のコンフィグ
hostname R1
int g0/0
ip address 172.16.0.1 255.255.0.0
no shutdown
int S0/0/0
ip address 172.17.0.1 255.255.0.0
clock rate 64000
no shutdown
router rip
version 2
network 172.16.0.0
network 172.17.0.0
passive-interface g0/0

●R2のコンフィグ
hostname R2
int s0/0/0
ip address 172.17.0.2 255.255.0.0
no shutdown
interface g0/0
ip address 172.18.0.1 255.255.0.0
no shutdown
router rip
version 2
network 172.17.0.0
network 172.18.0.0
passive-interface g0/0

ルーティングテーブルの確認

R1ルータ、R2ルータのルーティングテーブルを確認します。

●R1のルーティングテーブル

R1#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route

Gateway of last resort is not set

     172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks
C       172.16.0.0/16 is directly connected, GigabitEthernet0/0
L       172.16.0.1/32 is directly connected, GigabitEthernet0/0
     172.17.0.0/16 is variably subnetted, 2 subnets, 2 masks
C       172.17.0.0/16 is directly connected, Serial0/0/0
L       172.17.0.1/32 is directly connected, Serial0/0/0
R    172.18.0.0/16 [120/1] via 172.17.0.2, 00:00:25, Serial0/0/0

●R2のルーティングテーブル

R2#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route

Gateway of last resort is not set

R    172.16.0.0/16 [120/1] via 172.17.0.1, 00:00:20, Serial0/0/0
     172.17.0.0/16 is variably subnetted, 2 subnets, 2 masks
C       172.17.0.0/16 is directly connected, Serial0/0/0
L       172.17.0.2/32 is directly connected, Serial0/0/0
     172.18.0.0/16 is variably subnetted, 2 subnets, 2 masks
C       172.18.0.0/16 is directly connected, GigabitEthernet0/0
L       172.18.0.1/32 is directly connected, GigabitEthernet0/0

正しく、R1ルータ、R2ルータにおいて、経路情報が交換されていることが確認できます。

MD5認証の流れ

認証の設定の流れは以下の手順になります。

①「キーチェーン」で認証を有効化する。

②認証モードを選択する。

③キーIDと認証キーを関連付ける。

R1ルータにおけるMD5認証の設定

それでは、R1ルータで、手順どおりに認証を設定していきます。

①「キーチェーン」で認証を有効化する。

R1(config-if)#ip rip authentication key-chain A-B

キーチェーン名を「A-B」としRIPv2認証を有効にします。

このコマンドで、インタフェイスに対する認証を有効にし、使用されるキーチェーンを設定します。

②認証モードを選択する。

R1(config-if)#ip rip authentication mode MD5

認証モードにMD5を指定します。textを指定すると平文による認証を行うことができます。

③キーIDと認証キーを関連付ける。

R1(config)#key chain A-B
R1(config-keychain)#key 1
R1(config-keychain-key)#key-string 1234

の3つのコマンドで、認証用の鍵とキーチェーンと関連付けます。

 キーチェーンを「A-B」に、キーIDを「1」としてキーストリング「1234」で認証用の鍵と関連付けを行います。キーIDとキーストリングが両側のルータで一致している必要があります。

●R1ルータの設定

R1#conf t 
R1(config)#int S/0 
R1(config-if)#ip rip authentication key-chain A-B
R1(config-if)#ip rip authentication mode md5
R1(config-if)#exit
R1(config)#key chain A-B
R1(config-keychain)#key 1
R1(config-keychain-key)#key-string 1234

R1ルータで「debug ip rip」コマンドを入力してRIPのでバックの出力を監視します。

R1#debug ip rip

●R1ルータのデバッグの出力

RIP protocol debugging is on
R1#
01:24:02: RIP: ignored v2 packet from 172.17.0.2 (invalid authentication)
01:24:05: RIP: sending v2 update to 224.0.0.9 via GigabitEthernet0/0 (172.16.0.1)
01:24:05:      172.17.0.0/16 -> 0.0.0.0, metric 1, tag 0
01:24:05: RIP: sending v2 update to 224.0.0.9 via Serial0/0/0 (172.17.0.1)
01:24:05:      172.16.0.0/16 -> 0.0.0.0, metric 1, tag 0

 上の黄色のマークに注目して下さい。RIPv2認証を有効にしているインタフェースで受信したアップデートの認証が失敗し、アップデートが無視されていることが分かります。

R2ルータにおけるMD5認証の設定

R2ルータにおいても同様に、MD5認証の設定を行います。

●R2ルータの設定

R2#conf t 
R2(config)#int S/0 
R2(config-if)#ip rip authentication key-chain A-B
R2(config-if)#ip rip authentication mode md5
R2(config-if)#exit
R2(config)#key chain A-B
R2(config-keychain)#key 1
R2(config-keychain-key)#key-string 1234

R1ルータで「no debug ip rip」コマンドを入力し、いったん、デバッグを止めます。

R1#no debug ip rip

再度、R1ルータで「debug ip rip」コマンドを入力してRIPのでバックの出力を監視します。

R1#debug ip rip

●R1ルータのデバッグの出力

R1#debug ip rip
RIP protocol debugging is on
R1#
01:28:13: RIP: sending v2 update to 224.0.0.9 via GigabitEthernet0/0 (172.16.0.1)
01:28:13:      172.17.0.0/16 -> 0.0.0.0, metric 1, tag 0
01:28:13:      172.18.0.0/16 -> 0.0.0.0, metric 2, tag 0
01:28:13: RIP: sending v2 update to 224.0.0.9 via Serial0/0/0 (172.17.0.1)
01:28:13:      172.16.0.0/16 -> 0.0.0.0, metric 1, tag 0
01:28:18: RIP: received packet with MD5 authentication
01:28:18: RIP: received v2 update from 172.17.0.2 on Serial0/0/0
01:28:18:      172.18.0.0/16 -> 0.0.0.0 in 1 hops

 上の黄色のマークに注目して下さい。MD5による認証が成功し、ちゃんとアップデートを受信していることが確認できます。