2014년 1월 23일 목요일

GRE IPsec VPN을 이용한 원격지간 OSPF Area 연결 - 8. OSPF 보안 / Area 및 Neighbor 인증





크게 Area 단위로 하는 인증 보안이 있고, Neighbor 관계 성립에 필요한 인증이 있다.
먼저 Area 단위 인증을 확인한다. 해당 구성에서는 Area 0을 사용한다.

A00A(config)# router ospf 5730
A00A(config-router)# area 0 authentication message-digest

이 상태에서 routing table을 확인하면 아래처럼 모든 OSPF네이버가 끊겨있다.


이 명령어에서 0은 Area 넘버. 뒤의 message-digest는 MD5방식으로 신호를 주고받는 설정이고, 없을경우는 평문으로 신호를 주고 받는다. (설정이 없는 경우는 type 0, 평문인증은 type 1, MD5인증은 type 2) 이는 debug ip ospf adj 명령으로 확인하면 다음과 같은 메세지로 확인할 수 있다. 아래처럼 주변의 라우터들은 설정이 아직 안된상태라 type 0이고, 자신은 type 2를 사용해서 맞지 않는다는 메세지가 나온다. 당연히 Neighbor 관계 성립이 안되며, 설정전에 Neighbor 관계가 맺어진 상태라면 풀린다.


마찬가지로 설정되지 않은 주변 라우터에서는 아래와 같이 반대로 나온다.


동일한 설정을 하면, 다시 Neighbor 관계가 성립된다.

이 상태에서 연결된 인터페이스간에 아래와 같이 설정한다.

A00A(config)# int f2/0
A00A(config-if)# ip ospf message-digest-key 10 md5 testpw

여기서 10은 인터페이스간 Key ID. 1~255중 하나를 선택하면 된다. 당연히 연결된 Neighbor간에는 동일해야 한다. md5 뒤의 텍스트(testpw)는 인증시 사용할 키. 
Key ID와 Key값은 Area 전체가 같을 필요는 없고, Neighbor간에만 일치시키면 된다. 
(여기서는 편의상 전체를 통일시켰다.)

debug ip ospf packet 명령으로 확인해보면 아래처럼 인증 타입과 Key ID를 확인할 수 있다.



Area 전체가 아닌, 특정 OSPF Neighbor에 대한 인증설정을 할 경우, 아래와 같이 진행한다.
여기서는 Tunnel 인터페이스 12, 13, 22, 23에 대해서 적용한다.

A00A(config)# int t12
A00A(config-if)# ip ospf authentication message-digest
A00A(config-if)# ip ospf message-digest-key 12 md5 ntestpw

이 경우 따로 Area 설정을 해줄 필요는 없다.


외부 링크 - 설정방법 관련
OSPF Design Guide
Sample Configuration for Authentication in OSPF


P.S : 아래는 편의를 위해 저장해두는 명령들.
Area 0에 속한 라우터에 대한 Area 0 인증 설정은 아래 명령어를 사용하면 된다.
4개의 라우터 모두 공통이다.

conf t
router ospf 5730
area 0 authentication message-digest
exit
int f0/0
ip ospf message-digest-key 10 md5 testpw
exit
int f0/1
ip ospf message-digest-key 10 md5 testpw
exit
int f2/0
ip ospf message-digest-key 10 md5 testpw
exit

-마지막 f2/0은 A00A와 A00B만 해당.

아래는 Tunnel 인터페이스간 Neighbor 인증.

int t12
ip ospf authentication message-digest
ip ospf message-digest-key 12 md5 ntestpw
exit
int t13
ip ospf authentication message-digest
ip ospf message-digest-key 13 md5 ntestpw
exit 
int t22
ip ospf authentication message-digest
ip ospf message-digest-key 22 md5 ntestpw
exit
int t23
ip ospf authentication message-digest
ip ospf message-digest-key 23 md5 ntestpw
exit


P.S2 : 이제 하나 남았다... 

댓글 없음:

댓글 쓰기