管理メニュー

DynagenでCCIEを目指す

20100504 IS-IS 認証の設定

最終更新:

it_certification

- view
管理者のみ編集可

目的

  • IS-IS環境下における、認証の設定方法を確認します。

構成

  • 設定概要
    • IS-ISによってルーティングします。
    • TODO の検証1終了時と全く同じ設定です。
TODO
  • 構成図
  • netファイル
#ghostios = True
#sparsemem = True
model = 3620
[localhost]
	
	[[3620]]
		image = C:\Program Files\Dynamips\images\c3620-j1s3-mz.123-18.bin
		ram = 128
	
	[[ROUTER R1]]
		f0/0 = R2 f1/0
		
	[[ROUTER R2]]
		f0/0 = R3 f1/0

	[[ROUTER R3]]
  • 初期設定 R1
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
ip subnet-zero
!
!
!
ip cef
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
interface Loopback0
 ip address 1.1.1.1 255.255.255.255
 ip router isis 
!
interface FastEthernet0/0
 ip address 192.168.10.1 255.255.255.0
 ip router isis 
 duplex auto
 speed auto
!
router isis 
 net 01.0000.0000.0001.00
!
ip http server
ip classless
!
!
!
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
!
!
end
  • 初期設定 R2
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R2
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
ip subnet-zero
!
!
!
ip cef
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
interface Loopback0
 ip address 2.2.2.2 255.255.255.255
 ip router isis 
!
interface FastEthernet0/0
 ip address 192.168.20.2 255.255.255.0
 ip router isis 
 duplex auto
 speed auto
!
interface FastEthernet1/0
 ip address 192.168.10.2 255.255.255.0
 ip router isis 
 duplex auto
 speed auto
!
router isis 
 net 01.0000.0000.0002.00
!
ip http server
ip classless
!
!
!
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
!
!
end
  • 初期設定 R3
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R3
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
ip subnet-zero
!
!
!
ip cef
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
interface Loopback0
 ip address 3.3.3.3 255.255.255.255
 ip router isis 
!
interface FastEthernet1/0
 ip address 192.168.20.3 255.255.255.0
 ip router isis 
 duplex auto
 speed auto
!
router isis 
 net 02.0000.0000.0003.00
!
ip http server
ip classless
!
!
!
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
!
!
end

検証1 直接設定

  • 直接設定
R1にパスワードを定義します。このように、key-chainを使わず直接パスワードを設定する方法もありますが、この方法は平文による設定しかできません。
設定が完了すると、IIH(IS-IS hello)に失敗した旨のメッセージが定期的に出力されます。 
R1(config)#interface FastEthernet 0/0
R1(config-if)#isis password kusanagi level-1
R1(config-if)#isis password yagami level-2
*Mar  1 00:07:24.895: %CLNS-4-AUTH_FAIL: ISIS: LAN IIH authentication failed
  • neighborの確認
IIHのパスワードが一致しないため、neighborは切断されています。 
R1#show isis neighbors

System Id      Type Interface IP Address      State Holdtime Circuit Id
R1#

検証2 key-chainによる設定

  • 平文による設定
R1,R2間でneighborが確立できるよう、パスワードを設定します。設定方法は他のIGPとほぼ同じです。注意すべき点は、level-1, level-2などの指定が必要である事くらいであると思います。 
R2(config)#key chain kyo
R2(config-keychain)#key 1
R2(config-keychain-key)#key-string kusanagi
R2(config-keychain-key)#exit
R2(config-keychain)#exit
R2(config)#key chain iori
R2(config-keychain)#key 1
R2(config-keychain-key)#key-string yagami
R2(config-keychain-key)#exit
R2(config-keychain)#exit

R2(config)#interface FastEthernet 1/0
R2(config-if)#isis authentication mode text level-1
R2(config-if)#isis authentication mode text level-2
R2(config-if)#isis authentication key-chain kyo level-1
R2(config-if)#isis authentication key-chain iori level-2
R2(config-if)#
  • MD5による設定
R2,R3間のパスワードをMD5で設定します。 
R2(config)#key chain benimaru
R2(config-keychain)#key 1
R2(config-keychain-key)#key-string nikaido

R2(config)#interface FastEthernet 0/0
R2(config-if)#isis authentication mode md5 level-2
R2(config-if)#isis authentication key-chain benimaru level-2

R3(config)#key chain benimaru
R3(config-keychain)#key 1
R3(config-keychain-key)#key-string nikaido

R3(config)#interface FastEthernet 1/0
R3(config-if)#isis authentication mode md5 level-2
R3(config-if)#isis authentication key-chain benimaru level-2

検証3 area単位の認証

  • R1の設定
IS-ISではarea単位の認証も可能です。以下の通り、認証の設定を行います。
R1のみ設定が完了すると、以下のように認証に失敗した旨のメッセージが定期的に出力されます。 
R1(config)#router isis
R1(config-router)#area-password daimon
*Mar  1 00:34:10.551: %CLNS-4-AUTH_FAIL: ISIS: LSP authentication failed
  • R2の設定
以下の通り、R2に認証の設定をします。 
R2(config)#key chain goro
R2(config-keychain)#key 1
R2(config-keychain-key)#key-string daimon

R2(config)#router isis
R2(config-router)#authentication mode text level-1
R2(config-router)#authentication key-chain goro
「20100504 IS-IS 認証の設定」をウィキ内検索
添付ファイル
DynagenでCCIEを目指す
人気記事ランキング
  1. トップページ/動作検証 ネットワーク系/20100621 BGP タイマーの調節
  2. トップページ/動作検証 ネットワーク系/CBAC 基本設定
  3. トップページ/動作検証 ネットワーク系/http server management
  4. トップページ/動作検証 ネットワーク系/tcp intercept
  5. トップページ/動作検証 ネットワーク系/INE Mock lab 02
  6. トップページ/動作検証 ネットワーク系/20100825 HSRP
  7. トップページ/動作検証 ネットワーク系/INE Workbook Volume I Bridging Switching
  8. トップページ/動作検証 ネットワーク系/20100813 IP SAL
  9. トップページ/動作検証 ネットワーク系/20100512 ODR(On-Demand Routing)
  10. トップページ/動作検証 ネットワーク系/20100605 BGP トランジットAS フルメッシュ構成
もっと見る
最近更新されたページ
もっと見る
人気記事ランキング
  1. トップページ/動作検証 ネットワーク系/20100621 BGP タイマーの調節
  2. トップページ/動作検証 ネットワーク系/CBAC 基本設定
  3. トップページ/動作検証 ネットワーク系/http server management
  4. トップページ/動作検証 ネットワーク系/tcp intercept
  5. トップページ/動作検証 ネットワーク系/INE Mock lab 02
  6. トップページ/動作検証 ネットワーク系/20100825 HSRP
  7. トップページ/動作検証 ネットワーク系/INE Workbook Volume I Bridging Switching
  8. トップページ/動作検証 ネットワーク系/20100813 IP SAL
  9. トップページ/動作検証 ネットワーク系/20100512 ODR(On-Demand Routing)
  10. トップページ/動作検証 ネットワーク系/20100605 BGP トランジットAS フルメッシュ構成
もっと見る
最近更新されたページ
もっと見る
ウィキ募集バナー