解説書 Vol.1

[目次][用語][索引][前へ][次へ]


12.2.5 認証(IS-IS)

IS-ISには,受信パケットを認証する機能があります。認証機能により,一部の攻撃を防ぐことができます。

IS-IS認証の認証対象は二つあります。それぞれ隣接ルータとLSPです。

本装置がサポートするIS-IS認証方式は二つあります。それぞれ,平文認証と暗号化認証です。

<この項の構成>
(1) 隣接ルータの認証
(2) LSPの認証
(3) 平文認証
(4) HMAC-MD5認証
(5) 認証の変更

(1) 隣接ルータの認証

隣接ルータへ接続している本装置のインタフェースに設定した認証鍵と,本装置へ接続している隣接ルータのインタフェースに設定した認証鍵が同じ場合にだけ,本装置と隣接ルータが互いに認証に成功し,接続することができます。

【注意事項】
  1. ある回線に接続しているすべてのルータで,その回線への接続IS-ISインタフェースのレベル1隣接ルータ認証鍵を一致させてください。一致していない場合,レベル1でつながりません。
  2. ある回線に接続しているすべてのルータで,その回線への接続IS-ISインタフェースのレベル2隣接ルータ認証鍵を一致させてください。一致していない場合,レベル2でつながりません。

(2) LSPの認証

LSPの生成元ルータに設定した認証鍵と,本装置に設定した認証鍵が同じ場合だけ,本装置が該当LSPを受け入れます。逆に,本装置に設定した認証鍵と,IS-ISネットワーク上のほかのルータに設定した認証鍵が同じ場合だけ,本装置が生成したLSPがほかのルータに受け入れられます。

【注意事項】
  1. レベル1ドメイン上にあるすべてのルータで,レベル1のLSP認証鍵を一致さてください。一致していない場合,レベル1の経路が正しく生成されません。
  2. IS-ISドメイン上にあるすべてのレベル2ルータで,レベル2の認証鍵を一致さてください。一致していない場合,レベル2の経路が正しく生成されません。

(3) 平文認証

平文認証は,認証鍵がそのままの形でパケットに含まれる方式です。平文認証のモデル図を次に示します。

送信・広告側では認証鍵をパケットの認証フィールドにコピーします。受信側では,認証鍵とパケット中の認証フィールドを比較し,これが一致したときだけ認証に成功したものとみなします。

認証方式の不一致,認証鍵長の不一致,および認証鍵の不一致は,すべて認証失敗とみなします。

図12-5 平文認証のモデル図

[図データ]

(4) HMAC-MD5認証

HMAC-MD5認証は,パケットと認証鍵を元にHMAC-MD5ハッシュ関数を実行し,その結果得られるハッシュ値がパケットに含まれる方式です。HMAC-MD5認証のモデル図を次に示します。

送信・広告側では,パケットと認証鍵を元にHMAC-MD5ハッシュ値を求め,これをパケットの認証フィールドにコピーします。受信側では,受信パケットと認証鍵を元にHMAC-MD5ハッシュ値を求め,ハッシュ値とパケット中の認証フィールドの値を比較し,これが一致したときだけ認証に成功したものとみなします。

認証方式の不一致,およびハッシュ値の不一致は,認証失敗とみなします。

図12-6 HMAC-MD5認証のモデル図

[図データ]

(5) 認証の変更

本装置では,受信時の認証確認を行わず,常に認証に成功したことにする構成定義オプションをサポートします。認証鍵や認証方式を変更する場合,このオプションを使用し,以下の手順で運用してください。これにより,設定変更をルータ1台ずづ行い,かつIS-ISプロトコル通信を切断することなく,認証設定を変更することができます。

  1. まず,認証変更対象の全ルータについて,1台ずつ順に「認証確認しない」オプションを設定します。
  2. ついで,認証変更対象の全ルータについて,1台ずつ順に認証設定を変更します。
  3. 最後に,認証変更対象の全ルータについて,1台ずつ順に「認証確認しない」オプション設定を削除します。

[目次][前へ][次へ]


[他社商品名称に関する表示]

Copyright (c)2005 ALAXALA Networks Corporation. All rights reserved.