コンフィグレーションガイド Vol.3


15.1.6 RIP-2

〈この項の構成〉

(1) RIP-2の諸機能

RIP-2は広告する経路情報に該当する経路のサブネットマスクを設定するため,RIP-1のような経路広告上の制限はなく,可変長サブネットを取り扱うことができます。RIP-2固有の機能を次に示します。

(a) ルートタグ

本装置ではレスポンスメッセージで通知された経路情報のルートタグ情報が設定されている場合,ルーティングテーブルにルートタグ情報を取り込みます。本装置から通知するレスポンスメッセージの経路情報のルートタグ情報は,ルーティングテーブルの該当する経路のルートタグを設定します。なお,設定できる範囲は1〜65535(10進数)です。

(b) サブネットマスク

本装置ではレスポンスメッセージで通知された経路情報のサブネットマスク情報が設定されている場合,ルーティングテーブルに該当するサブネットマスク情報を取り込みます。サブネットマスク情報が設定されていない場合,RIP-1での経路情報受信と同様に扱います。

本装置から通知するレスポンスメッセージの経路情報のサブネットマスク情報は,ルーティングテーブルの該当する経路のサブネットマスクを設定します。

(c) ネクストホップ

本装置ではレスポンスメッセージで通知された経路情報のネクストホップ情報が設定されている場合,ルーティングテーブルに該当するネクストホップ情報を取り込みます。ネクストホップ情報が設定されていない場合,送信元のゲートウェイをネクストホップとして認識します。

本装置から通知するレスポンスメッセージの経路情報のネクストホップ情報は,通知する経路情報のネクストホップが送信先ゲートウェイと同一のネットワーク上にある場合,ルーティングテーブルの該当する経路のネクストホップを設定します。同一のネットワーク上にない場合,送信インタフェースのアドレスを設定します。

(d) マルチキャストアドレスの使用

本装置ではRIP-2メッセージを受信しないホストでの不要な負荷を軽減するために,マルチキャストアドレスをサポートします。RIP-2メッセージ送信時に使用するマルチキャストアドレスは224.0.0.9を使用します。

(e) 認証機能

RIPでは,ルータ間のメッセージ交換時にメッセージを送信したルータが同じ管理下にあることを検証するために,認証を使用できます。隣接ルータとの間で認証を使用することで,不正な経路情報を送信することによる経路制御上の攻撃から,認証管理下にあるルータを保護できます。

認証方式には,平文パスワード認証と暗号認証があります。暗号認証の認証アルゴリズムとしてKeyed-MD5をサポートします。

コンフィグレーションでは,インタフェースごとに認証方式と認証キーを指定します。コンフィグレーションの指定がない場合,認証しません。

■ 平文パスワード認証の認証手順

平文パスワード認証では,メッセージにコンフィグレーションで設定した認証キーをそのままパスワードとして埋め込んで送信します。コンフィグレーションで複数の認証キーが設定されている場合は,すべての認証キーごとにメッセージを複製して送信します。

メッセージの受信時には,メッセージ中のパスワードと,設定してある認証キーのどれかが一致した場合,認証に成功したと見なします。認証に失敗したメッセージは破棄します。

■ 暗号認証の認証手順

暗号認証では,メッセージダイジェストを比較することで,メッセージを認証します。暗号認証のデータフローを次の図に示します。

図15‒13 暗号認証のデータフロー

[図データ]

メッセージの送信時には,認証キーとメッセージ本体から認証アルゴリズム(Keyed-MD5)を使用してメッセージダイジェストを生成して,これをメッセージとともに送信します。コンフィグレーションで複数の認証キーが設定されている場合は,すべての認証キーごとにメッセージを複製して送信します。

メッセージの受信時には,メッセージ中に含まれるキー識別子と同じキー識別子を持つ認証キーを使用して認証します。この認証キーを使用して送信時と同様の手順を経てメッセージダイジェストを生成して,生成したメッセージダイジェストが受信したメッセージダイジェストと一致した場合,認証に成功したと見なします。認証に失敗したメッセージは破棄します。

■ 認証キーの変更手順

RIP-2ネットワークで認証を使用する場合,通常は各ルータで単一の認証キーを使用して運用しますが,認証キーを変更するときは一時的に複数の認証キーを使用します。

認証キーの変更手順を次に示します。

  1. 認証を使用するネットワーク中の各ルータで,旧認証キーと新認証キーの両方を有効にしてください。本装置では,コンフィグレーションで指定したすべてのキーが有効になります。

  2. 認証を使用するネットワーク中の各ルータで,旧認証キーを削除,または無効にしてください。

■ 暗号認証使用時の注意事項

暗号認証を使用しているメッセージには,リプレイ攻撃防止のためシーケンス番号が付いています。シーケンス番号には前回送信した番号より大きい値を設定する必要があり,本装置では,1970/1/1 0:00からの経過秒数を設定しています。

なお,運用コマンドset clockなどでシステムの現在時刻を後退させても,隣接装置で認証が失敗しないように,本装置では,前回送信したシーケンス番号より大きい値に調整して送信します。ただし,装置を再起動すると番号を調整できなくなるため,再起動前に送信したメッセージのシーケンス番号よりも小さいシーケンス番号でメッセージを送信することがあります。この場合は,メッセージを受信した隣接装置で認証に失敗します。特に,暗号認証の使用中に現在時刻を大きく後退させたあとは,装置の再起動後に,隣接装置での認証に失敗する可能性が高くなりますので,注意してください。

また,認証の失敗が継続する場合は,ネットワーク内のすべてのルータで認証キーを変更してください。

(2) RFCとの差分

本装置のRIP-2はRFC2453およびRFC4822に準拠していますが,ソフトウェアの機能制限から一部RFCとの差分があります。RFCとの差分を次の表に示します。

表15‒12 RFCとの差分

RFC

本装置

RFC2453

RIP-2ルータがRIP-1のリクエストを受信した場合,RIP-1のレスポンスで応答すべきです。RIP-2だけを送信するように設定されている場合,レスポンスは送信すべきではありません。

本装置はRIP-2インタフェースではRIP-2のレスポンスだけを送信します。そのため,RIP-1のリクエストを受信した場合,リクエストに対するレスポンスは送信しません。

受信制御スイッチ(RIP-1だけを許す,RIP-2だけを許す,両方許す,受信を受け付けない)を持つべきです。これらはインタフェース単位に行います。

本装置ではインタフェース単位でRIPの受信を制御できますが,RIP-1,RIP-2を区別した受信制御はできません。

RFC4822

認証キーとキー識別子を含む認証コンフィグレーションパラメータのセットには,キーの有効期限とそれに関連するコンフィグレーションパラメータを有します。

本装置ではキーの有効期限設定はサポートしません。

すべての適合した実装は,Keyed-MD5認証アルゴリズムと,HMAC-SHA1認証アルゴリズムを実装しなければなりません。

本装置ではKeyed-MD5認証アルゴリズムだけサポートします。

(3) マルチホーム・ネットワーク設計時の注意事項

セカンダリアドレスが設定されたインタフェース上でRIP-2を使用する場合は,次のことに留意してください。

RIP-2では送信するパケットにマルチキャストアドレスを使用します。マルチキャストアドレスが指定されたパケットは,プライマリネットワークまたはセカンダリネットワークに属するすべてのルータに対して送達されるため,RIP受信を必要としないルータに不要な負荷が掛かることになります。