OSPF - Implémentation OSPF pour IPv6
Sommaire • Introduction • Prérequis pour implémenter OSPF pour IPv6 - Contenu • Prérequis pour implémenter OSPF pour IPv6 • Restrictions pour l'implémentation OSPF pour IPv6 • Informations sur l'implémentation OSPF pour IPv6 - Comment OSPF pour IPv6 fonctionne - Comparaison OSPF pour IPv6 et OSPF version 2 - Type de LSA pour IPv6 - Forcer le SPF dans OSPF pour IPv6 - Equilibrage de charge dans OSPF pour IPv6 - Importation d'adresses dans OSPF pour IPv6 - Personnalisation de OSPF pour IPv6 - Support de l'authentification OSPF pour IPv6 avec IPSec • Comment implémenter OSPF pour IPv6 - Validation d'OSPF pour IPv6 sur une interface - Définition d'un intervalle d'area OSPF pour IPv6 - Configuration d'IPSec sur OSPF pour IPv6 - Configuration d'interfaces NBMA - Forcer le calcul du SPF - Vérification de la configuration et du fonctionnement d'OSPF pour IPv6 • Exemples de configurations pour l'implémentation d'OSPF pour IPv6 - Validation d'OSPF pour IPv6 sur une interface - Définition d'une area OSPF pour IPv6 - Définition de l'authentification sur une interface - Définition de l'authentification dans une area OSPF - Configurer une interface NBMA - Forcer la reconfiguration du SPF
• Références additionnelles - Documents liés - Standards - MIBs - RFCs
Prérequis pour implémenter OSPF pour IPv6 Introduction Ce document décrit les concepts et les tâches dont vous avez besoin pour implémenter OSPF pour IPv6 dans votre réseau. Contenu • Prérequis pour implémenter OSPF pour IPv6 • Restrictions pour l'implémentation OSPF pour IPv6 • Informations sur l'implémentation OSPF pour IPv6 • Personnalisation de OSPF pour IPv6 • Support de l'authentification OSPF pour IPv6 avec IPSec • Comment implémenter OSPF pour IPv6 • Exemples de configurations pour l'implémentation d'OSPF pour IPv6 • Références additionnelles Prérequis pour implémenter OSPF pour IPv6 Avant de valider OSPF pour IPv6 sur une interface vous devez exécutez les tâches sui- vantes : • Achever la stratégie et la planification du réseau OSPF pour votre réseau IPv6. Par exemple vous devez décider si plusieurs areas sont requises. • Valider le routage unicast IPv6. • Valider IPv6 sur l'interface. • Configurer IPSec sur OSPF pour IPv6 pour permettre l'authentification et le cryptage. Restrictions pour l'implémentation OSPF pour IPv6 • Quand il y a une double pile dans un réseau IP avec OSPF version 2 pour IPv4 et OSPF pour IPv6, soyez prudents quand vous changez les valeurs par défaut des commandes utilisées pour valider OSPF pour IPv6. Changer ces valeurs par défaut peut affecter votre réseau OSPF IPv6 peut-être de manière très défavorable. • L'authentification est supportée comme celle de l'IOS Cisco release 12.4(9)T. • L'authentification ESP et le cryptage sont supportés comme ceux de l'IOS Cisco release 12.4(9)T.
Informations sur l'implémentation OSPF pour IPv6 Pour implémenter OSPF pour IPv6, vous devez comprendre les concepts suivants : • Comment OSPF pour IPv6 fonctionne. • Comparaison entre OSPF pour IPv6 et OSPF version 2. • Types de LSA pour IPv6. • Forcer le SPD dans OSPF pour IPv6. • Equilibrage de charge dans OSPF pour IPv6. • Importation d'adresses dans OSPF pour IPv6. • Personnalisation d'OSPF pour IPv6 • Support de l'authentification pour OSPF pour IPv6 avec IPSec. Comment OSPF pour IPv6 fonctionne OSPF est un protocole de routage pour IP. C'est un protocole de type état de lien par opposition au protocole de type vecteur distance. Pensez à une liaison comme inter- face sur un équipement de réseau. Un protocole état de lien prend ses décisions de routage sur la base des états des liaisons qui connectent les machines source et des- tination. L'état d'une liaison est une description de cette interface et de l'état de voi- sinage avec des équipements voisins. L'information d'interface comprend le préfixe IPv6 de l'interface, le masque de réseau, le type de réseau qui est connecté, les rou- teurs connectés à ce réseau, etc…Ces informations sont propagées dans différents types de LSAs. Un ensemble de LSAs de données est stocké dans une base de données d'état de lien. Le contenu de la base de données, quand il est soumis à l'algorithme de Dijkstra, permet d'établir la table de routage OSPF. La différence entre la base de données et la table de routage est que la base de données contient un ensemble de données et que la table de routage contient un une liste de chemins les plus courts vers les des- tinations connues via des ports interfaces des routeurs. OSPF version 3, qui est décrit dans le RFC 2740, supporte IPv6. Comparaison entre OSPF pour IPv6 et OSPF version 2 La majorité des fonctionnalités de OSPF pour IPv6 sont les mêmes que celles d'OSPF version 2. OSPF version 3 pour IPv6, qui est décrit dans le RFC 2740, étend OSPF version 2 pour fournir le support de préfixe de routage IPv6 et de la plus grande taille des adresses IPv6. Dans OSPF pour IPv6, un processus de routage n'a pas besoin d'être explicitement crée. Valider OSPF pour IPv6 sur une interface amènera la création d'un processus et de sa configuration associée.
Dans OSPF pour IPv6 chaque interface doit être validée en utilisant les commande en mode de configuration interface. Cette fonctionnalité est différente de celle d'OSPF version 2 dans lequel les interfaces sont directement validées en utilisation le mode de configuration routeur. Quand on utilise une interface NBMA (Non-Broadcast Multi-Access) dans OSPF pour IPv6, les utilisateurs doivent configurer manuellement le routeur avec une liste de voisins. Les routeurs voisins sont identifiés par leurs "router ID". Dans IPv6, les utilisateurs peuvent configurer plusieurs préfixes d'adresse sur une interface. Dans OSPF pour IPv6 tous les préfixes d'adresse d'une interface sont inclus par défaut. Les utilisateurs ne peuvent pas choisir certains préfixes d'adresse pour être importés dans OSPF pour IPv6; soit tous les préfixes d'adresse sur une interface sont importés soit aucun préfixe d'adresse de cette interface n'est importé. Contrairement à OSPF version 2, plusieurs instances d'OSPF pour IPv6 peuvent opé- rer sur une liaison. Dans OSPF pour IPv6, il est possible qu'aucune adresse IPv6 ne soit configurée sur une interface. Dans ce cas l'utilisateur doit utiliser la commande router-id pour con- figurer le "Router-ID" avant que le processus OSPF soit démarré. Un "Router-ID" est un nombre de 32 bit quelconque. OSPF version 2 profite des adresses IPv4 32 bits pour prendre une adresse IPv4 comme "Router-ID". Si une adresse IPv4 existe quand OSPF pour IPv6 est configuré sur une interface alors cette adresse IPv4 est utilisée comme "Router-ID". Si plusieurs adresses IPv4 sont disponibles, un "Router-ID" est choisi en utilisant les mêmes règles que pour OSPF version 2. OSPF préfère automatiquement une interface loopback parmi toutes les autres et choisit l'adresse IP la plus élevée parmi les interfaces loopback. Si aucune interface loopback n'est présente, l'adresse IP la plus élevée sur le routeur est choisie. Vous ne pouvez pas dire à OSPF de choisir une interface particulière. Types de LSA pour IPv6 La liste suivante décrit les types de LSA, chacune d'elles à un but précis: ● LSA routeur (Type 1) - Décrit l'état de lien et les coûts des liaisons de routeur dans l'area. Ces LSAs sont diffusées dans l'area uniquement. La LSA indique si le rou- teur est un routeur ABR (Area Border Router) ou ASBR (Autonomous Area Border Router) et si c'est une extrémité d'une liaison virtuelle. Les LSAs Type-1 sont éga- lement utilisées pour annoncer les réseaux d'extrémité. Dans OSPF pour IPv6, ces LSAs n'ont pas d'information d'adresse et sont indépendantes du protocole de ré- seau. Dans OSPF pour IPv6, l'information d'interface de routeur peut être disper- sée dans plusieurs LSAs routeur. Les receveurs doivent concaténer toutes les LSAs routeur issues d'un routeur donné quand ils exécutent le calcul du SPF. ● LSA réseau ( Type 2) - Décrit l'information d'état de lien et le coût pour tous les routeurs attachés à ce réseau. Cette LSA est une agrégation de toutes les informa- tions d'état de lien et de coût dans le réseau. Seul un routeur désigné récupère ces informations et peut générer une LSA réseau. Dans OSPF pour IPv6 les LSAs réseau n'ont pas d'information d'adresse et sont indépendantes du protocole de réseau.
● LSA Préfixe Inter-Area (Type 3) - Annonce les réseaux internes d'une area aux rou- teurs des autres areas (routes Inter-Area). Les LSAS Type-3 peuvent représenter un réseau unique ou un ensemble de réseaux agrégés dans une seule annonce. Seuls les ABRs génèrent des LSAs de type 3. Dans OSPF pour IPv6 les adresses pour ces LSAs sont exprimées comme des préfixes, longueurs de préfixe au lieu d'adresses, masques. La route par défaut est exprimée comme un préfixe avec une longueur égale à zéro. ● LSA Inter-Area ( Type 4) - Annonce la localisation d'un ASBR. Les routeurs qui essaient d'atteindre un réseau externe utilisent ces annonces pour déterminer le meilleur chemin vers le prochain saut. Les routeurs ASBR génèrent des LSAs Type 4. ● LSA Externe (Type 5) - Redistribue les routes d'un autre AS, usuellement d'un au- tre protocole de routage différent dans OSPF. Dans OSPF pour IPv6, les adresses pour ces LSAs sont exprimées comme préfixes, longueurs de préfixe au lieu d'adresses, masques. ● LSA Liaison ( Type 8) - Cette LSA a une portée de diffusion "link-local" et et ne sont jamais diffusées au-delà de la liaison à laquelle elles sont attachées. Les LSAs liaison fournissent l'adresse "link-local" du routeur à tous les autres routeurs at- tachés à la liaison, informant les autres routeurs attachés à la liaison d'une liste de préfixes à associer à la liaison et permettent au routeur de déclarer un ensem- ble de bits d'options à associer avec la LSA qui sera générée pour la liaison. ● LSA Préfixe Inter-Area ( Type 9) - Un routeur peut générer plusieurs LSAs Préfixe Inter-Area pour chaque routeur ou réseau de transit, chacune avec un "link-state ID" unique. Le "Link-state ID" pour chaque LSA Préfixe Inter-Area décrit son asso- ciation soit à la LSA routeur ou à la LSA réseau et contient les préfixes pour les réseau d'extrémité et de transit. Un préfixe d'adresse est présent dans quasiment toutes les nouvelles LSAs. Le préfixe est représenté par trois champs : PrefixLength, PrefixOptions et AddressPrefix. Dans OSPF pour IPv6, les adresses de ces LSAs sont exprimées comme préfixes, longueurs de préfixes au lieu d'adresses, masques. La route par défaut est exprimée comme un préfixe avec une longueur égale à zéro. Les LSAs Type 3 et Type 9 transportent toutes les informations de préfixe IPv6 qui dans IPv4 sont incluses dans les LSAs routeur et les LSAs réseau. Le champOptions dans certaines LSAs (LSA routeur, LSA réseau, LSA routeur Inter-Area et LSA liaison) a été étendu à 24 bits pour fournir le support OSPF pour IPv6. Dans OSPF pour IPv6, la fonction unique du "Link-state ID" dans les LSAs Préfixe Inter-Area, LSA Routeur Inter-Area et les LSAs externes système autonome est d'iden- tifier chaque pièce de la base de données état de lien. Tous les "Router-ID" ou adres- ses qui sont représentés par le "Link-State ID" dans OSPF v2 sont transportés dans le corps dans OSPF pour IPv6. Le "Link-State ID" dans les LSA réseau et dans les LSAs liaison est toujours l'interfa- ce ID du routeur origine de la liaison décrite. Pour cette raison les LSAs réseau et les LSAs liaison sont maintenant les seules LSAs dont la taille ne peut pas être limitée. Une LSA réseau doit lister tous les routeurs connectés à la liaison et une LSA liaison doit lister tous les préfixes d'adresse d'un routeur sur la liaison.
NBMA dans OSPF pour IPv6 Sur les réseaux NBMA, le routeur désigné (DR) ou BDR (Backup DR) gère la diffusion des LSAs. Sur les réseaux point à point la diffusion est faite simplement sur une in- terface directement connectée avec un voisin. Les routeurs qui partagent un segment commun (Liaison de couche 2 entre deux in- terfaces) deviennent voisins sur ce segment. OSPF utilise le protocole Hello qui trans- met périodiquement les paquets hello sur chaque interface. Les routeurs deviennent voisins quand ils se voient eux-mêmes dans les paquets reçus du voisin. Après que deux routeurs soient devenus voisins, ils peuvent procéder à l'échange et à la syn- chronisation de leurs bases de données ce qui crée une adjacence. Tous les routeurs voisins n'ont pas obligatoirement d'adjacence. Sur les réseaux point à point ou point à multipoint, le logiciel diffuse les mises à jour de routage aux voisins immédiats. Il n'y a ni DR ni BDR; toutes les informations de routage sont diffusées vers chaque équipement de réseau. Sur les segments broadcast ou NBMA uniquement, OSPF minimise le volume d'infor- mations devant être échangé sur un segment en choisissant un routeur comme DR et un autre comme BDR. Ainsi les routeurs sur le segment ont un point central de contact pour l'échange d'informations. Au lieu que chaque routeur échange des mises à jour de routage avec chacun des autres routeurs sur le segment, chaque routeur échange des informations avec le DR et le BDR. Le DR et le BDR relaient les informa- tions vers les autres routeurs. Le logiciel utilise la priorité des routeurs sur le segment pour déterminer quels rou- teurs seront le DR et le BDR. Le routeur avec la priorité la plus élevée est élu DR. S'il y a égalité alors le routeur qui le "Router-ID" le plus élevé est choisi. Après que le DR ait été élu, le BDR est élu de la même manière. Un routeur dont la priorité a été fixée à zéro ne peut être élu ni DR ni BDR. Quand on utilise OSPF pour IPv6 dans un environnement NBMA, vous ne pouvez pas détecter automatiquement les voisins. Sur une interface NBMA vous devez configurer vos voisins manuellement en mode de configuration interface. Forcer le SPF dans OSPF pour IPv6 Quand le mot-clé process est utilisé avec la commande clear ipv6 ospf, la base de données de OSPF est effacée, repeuplée et ensuite l'algorithme SPF est exécuté. Quand le mot-clé force-spf est utilisé avec la commande clear ipv6 ospf, la base de données OSPF n'est pas effacée avant l'exécution de l'algorithme SPF. Equilibrage de charge dans OSPF pour IPv6 Quand un routeur apprend plusieurs routes vers un réseau spécifique via plusieurs processus de routage (ou protocoles de routage), celui-ci installe la route qui a la dis- tance administrative la plus faible dans la table de routage. Quelquefois le routeur doit choisir une route parmi plusieurs apprises via le même processus de routage avec la même distance administrative. Dans ce cas, le routeur choisit le chemin qui a le coût le plus bas ( ou métrique) vers la destination. Chaque processus de routage calcule le coût de manière différente et les coûts doivent être manipulés pour faire de l'équilibrage de charge.
OSPF réalise le partage de charge automatiquement et de la manière suivante: - Si OSPF trouve qu'il peut atteindre une destination au travers de plusieurs interfa- ces et que chaque chemin a le même coût alors il installe chaque chemin dans la table de routage. La seule restriction sur le nombre de chemins vers la même des- tination est contrôlée par la commande maximum-paths. Le nombre maximum de chemins par défaut est égal à 16 dans un intervalle de 1 à 64. Importation d'adresses dans OSPF pour IPv6 Quand on importe l'ensemble d'adresses spécifiées sur une interface sur laquelle OSPF pour IPv6 opère dans OSPF pour IPv6, les utilisateurs ne peuvent pas spécifier les adresses à importer. Soit toutes les adresses sont importées soit aucune adresse n'est importée. Personnalisation de OSPF pour IPv6 Vous pouvez personnaliser OSPF pour IPv6 dans votre réseau mais en réalité vous n'avez pas vraiment besoin de le faire. Les valeurs par défaut de OSPF pour IPv6 sont fixées pour satisfaire les demandes de la majorité des clients et des fonctionna- lités. Si vous devez changer les valeurs par défaut, référez-vous au guide de configu- ration IPv4 et au guide des commandes IPv6 pour la syntaxe appropriée. Attention : Soyez prudent quand vous changez les valeurs par défaut. Changer ces valeurs peut affecter gravement votre réseau. Support de l'authentification OSPF pour IPv6 avec IPSec Pour s'assurer que les paquets OSPF pour IPv6 ne sont pas altérés ou retransmis au routeur et entraînent que le routeur se comporte d'une manière non désirée par ses gestionnaires, les paquets OSPF pour IPv6 doivent être authentifiés. OSPF pour IPv6 utilise la socket d'interface d'application (API) IPSec pour ajouter l'authentification aux paquets OSPF pour IPv6. Cette API été étendue pour fournir le support d'IPv6. OSPF pour IPv6 requiert l'utilisation d'IPSec pour valider l'authentification. Les mes- sages avec cryptage sont requis pour l'authentification car seules les images avec cryptage contiennent l'API IPSec nécessaire pour OSPF pour IPv6. Dans OSPF pour IPv6, les champs d'authentification ont été retirés des en-têtes OSPF. Quand OSPF opère avec IPv6, OSPF requiert l'en-tête d'authentification IPv6 AH et l'en-tête ESP IPv6 pour assurer l'intégrité, l'authentification et la confidentialité des échanges de routage. Les en-têtes d'extension IPv6 AH et ESP peuvent être utili- sées pour fournir la confidentialité et l'authentification à OSPF pour IPv6. Pour utiliser IPSec AH, vous devez valider la commande ipv6 ospf authentication. Pour utiliser IPSec ESP vous devez valider la commande ipv6 ospf encryption. L'en-tête ESP peut être utilisé seul ou en combinaison avec AH, le cryptage et l'au- thentification sont fournis. Les services de sécurité peuvent être fournis entre une paire de hosts, une paire de passerelles de sécurité ou entre une passerelle de sécu- rité et un host.
Pour configurer IPSec, les utilisateurs configurent une combinaison d'un index de politique de sécurité (SPI) et de la clé (clé utilisée pour créer et valider la valeur de hash). IPSec pour OSPF pour IPv6 peut être configuré sur une interface ou dans une area OSPF. Pour un degré de sécurité élevé, les utilisateurs doivent configurer une politique différente sur chaque interface configurée avec IPSec. Si un utilisateur con- figure IPSec pour une area OSPF, la politique est appliquée à toutes les interfaces de cette area sauf celles qui ont IPSec configuré directement. Une fois que IPSec est configuré pour OSPF pour IPv6, IPSec n'est plus visible pour l'utilisateur. La socket API de sécurité est utilisée par les applications pour sécuriser le trafic. L'API a besoin d'autoriser l'application à ouvrir, écouter et fermer les socket de sécu- rité. Le lien entre l'application et la couche socket de sécurité autorise également la couche socket de sécurité à informer l'application des changements de la socket tels que les évènements d'ouverture et de fermeture. L'API socket de sécurité est capable d'identifier les adresses locales et distantes, les masques, les ports et le protocole qui transporte le trafic requérant de la sécurité. Chaque interface a un état de socket de sécurité qui peut être un des suivants: ● NULL : Ne pas créer de socket de sécurité pour l'interface si l'authentification est configurée pour l'area. ● DOWN : IPSec a été configuré pour l'interface (ou l'area contient l'interface) mais OSPF pour IPv6 soit n'a pas requis IPSec pour créer une socket de sécurité pour cette interface soit il y a une condition d'erreur. ● GOING UP : OSPF pour IPv6 a requis une socket de sécurité à IPSec et attend le message CRYPTO_SS_SOCKET_UP d'IPSec. ● UP : OSPF pour IPv6 a reçu un message CRYPTO_SS_SOCKET_UP d'IPSec. ● CLOSING : La socket de sécurité pour l'interface a été formée. Une nouvelle socket peut être ouverte pour l'interface auquel cas la socket de sécurité courante fait la transition vers l'état DOWN, sinon l'interface devient UNCONFIGURED. ● UNCONFIGURED : L'authentification n'est pas configurée sur cette interface. OSPF ne transmettra ni n'acceptera de paquet tant que l'état est DOWN. Virtual link OSPF pour IPv6 Pour chaque liaison virtuelle, un bloc d'information de données de sécurité maître est crée pour la "virtual link". Comme chaque socket de sécurité doit être ouverte sur chaque interface, il y a un bloc d'information de données de sécurité correspondant pour chaque interface dans l'area de transit. L'état de socket de sécurité est gardé dans le bloc d'information de sécurité de l'interface. Le champ état dans le bloc d'in- formation de données de sécurité maître reflète l'état de toutes les sockets de sécurité ouvertes pour la "virtual link" . Si toutes les sockets de sécurité sont UP alors l'état de sécurité pour la "virtual link" sera mis à UP. Les paquets transmis sur une "virtual link" avec IPSec doivent utiliser des adresses source et destination prédéterminées. La première adresse de l'area locale trouvée dans la LSA Préfixe inter-area du routeur pour l'area est utilisée comma adresse
source. L'adresse source est sauvegardée dans la structure de données de l'area et utilisée quand les sockets de sécurité sont ouvertes et les paquets transmis sur la liaison virtuelle. La liaison virtuelle ne fait pas de transition vers l'état point à point tant que l'adresse source n'est pas sélectionnée. Par conséquent si les adresses sour- ce ou destination changent, les sockets de sécurité précédentes doivent être fermées et de nouvelles sockets doivent être ouvertes. Comment implémenter OSPF pour IPv6 Cette section contient les procédures suivantes: ● Validation d'OSPF pour IPv6 sur une interface ● Définition d'un intervalle d'area OSPF pour IPv6 ● Configuration d'IPSec sur OSPF pour IPv6 ● Configuration des interfaces NBMA ● Forcer le calcul du SPF ● Vérification de la configuration et du fonctionnement d'OSPF pour IPv6 Validation d'OSPF pour IPv6 sur une interface Cette tâche explique comment valider le routage OSPF pour IPv6 et configurer OSPF pour IPv6 sur chaque interface. Par défaut le routage OSPF pour IPv6 est dévalidé et OSPF pour IPv6 n'est pas confi- guré sur une interface. Résumé des étapes 1. enable 2. configure terminal 3. interface type number 4. ipv6 ospf process-id area area-id [instance instance-id] Etapes détaillées Commande ou Action But enable Exemple: Routeur> enable Valide le mode EXEC privilégié. • Entrez un mot de passe si cela est demandé configure terminal Routeur# configure terminal Entrée en mode de configuration global. interface type number Routeur(config)# interface ethernet 0/0 Spécifie un type et numéro d'interfa- ce et place le routeur en mode de configuration interface. ipv6 ospf process-id area area-id [instance instance-id] Routeur(config-if)# ipv6 ospf 1 area 0 Valide OSPF pour IPv6 sur une inter- face.
Définition d'un intervalle d'area OSPF pour IPv6 Le coût des routes agrégées sera le coût le plus élevé parmi les routes agrégées. Par exemple, si les routes suivantes sont agrégées: OI 2001:0DB8:0:0:7::/64 [110/20] via FE80::A8BB:CCFF:FE00:6F00, Ethernet0/0 OI 2001:0DB8:0:0:8::/64 [110/100] OI 2001:0DB8:0:0:9::/64 [110/20] Elles sont agrégées en une seule route comme suit : OI 2001:0DB8::/48 [110/100] Cette tâche explique comment consolider ou agréger les routes pour une area OSPF. Prérequis Le routage OSPF pour IPv6 doit être validé. Résumé des étapes 1. enable 2. configure terminal 3. ipv6 router ospf process-id 4. area area-id range ipv6-prefix/prefix-length [advertise | not-advertise] [cost cost] Etapes détaillées Commande ou Action But enable Exemple: Routeur> enable Valide le mode EXEC privilégié. • Entrez un mot de passe si cela est demandé configure terminal Routeur# configure terminal Entrée en mode de configuration global. ipv6 router ospf process-id Routeur(config)# ipv6 router ospf 1 Valide le mode de configuration routeur OSPF. area area-id range ipv6-prefix/prefix-length [advertise | not-advertise] [cost cost] Routeur(config-rtr)# area 1 range 2001:0DB8::/48 Consolide et agrège les routes à la frontière d'une area.
Configuration d'IPSec sur OSPF pour IPv6 Une fois que vous avez configuré OSPF pour IPv6 et décidé de l'authentification, vous devez définir la politique de sécurité sur chaque interface des routeurs du groupe. La politique de sécurité consiste en une combinaison de la clé et du SPI. Pour définir une politique de sécurité, vous devez définir un SPI et une clé. Vous pouvez configurer une politique d'authentification ou de cryptage soit pour une interface soit pour une area OSPF. Quand vous faites la configuration pour une area, la politique de sécurité est appliquée à toutes les interfaces dans l'area. Pour une sé- curité plus élevée, utilisez une politique différente sur chaque interface. Vous pouvez configurer l'authentification et le cryptage sur "virtual link". Les tâches suivantes expliquent comment configurer l'authentification et le cryptage sur une interface ou dans une area OSPF et sur des "virtual link". ● Définition de l'authentification sur une interface ● Définition du cryptage sur une interface ● Définition de l'authentification dans une area OSPF ● Définition du cryptage dans une area OSPF ● Définition de l'authentification et du cryptage pour une virtual link dans une area OSPF Définition de l'authentification sur une interface Cette tâche explique comment définir l'authentification sur une interface Prérequis Avant de configurer IPSec sur une interface, vous devez configurer OSPF pour IPv6 sur cette interface. Résumé des étapes 1. enable 2. configure terminal 3. interface type number 4. ipv6 ospf authentication ipsec spi spi md5 [key-encryption-type {key | null}]
Définition de l'authentification sur une interface Commande ou Action But enable Exemple: Routeur> enable Valide le mode EXEC privilégié. • Entrez un mot de passe si cela est demandé configure terminal Routeur# configure terminal Entrée en mode de configuration global. interface type number Routeur(config)# interface ethernet 0/0 Spécifie un type et numéro d'interfa- ce et place le routeur en mode de configuration interface. ipv6 ospf authentication ipsec spi spi md5 [key-encryption-type {key | null}] Routeur(config-if)# ipv6 ospf authentication ipsec spi 500 md5 1234567890abcdef1234567890abcdef Spécifie le type d'authentification pour une interface. Définition de l'authentification sur une interface Cette tâche décrit comment définir le cryptage sur une interface. Prérequis Avant de configurer IPSec sur une interface, vous devez configurer OSPF pour IPv6 sur cette interface. Résumé des étapes 1. enable 2. configure terminal 3. interface type number 4. ipv6 ospf encryption {ipsec spi spi esp encryption-algorithm [[key-encryption-type] key] authentication-algorithm [key-encryption-type] key | null}
Définition de l'authentification dans une area OSPF Etapes détaillées Commande ou Action But enable Exemple: Routeur> enable Valide le mode EXEC privilégié. • Entrez un mot de passe si cela est demandé configure terminal Routeur# configure terminal Entrée en mode de configuration global. interface type number Routeur(config)# interface ethernet 0/0 Spécifie un type et numéro d'interfa- ce et place le routeur en mode de configuration interface. ipv6 ospf encryption {ipsec spi spi esp encryption-algorithm [[key-encryption- type] key] authentication-algorithm [key-encryption-type] key | null} Routeur(config-if) ipv6 ospf encryption ipsec spi 1001 esp null sha1 123456789A123456789B123456789C123456789 D Spécifie le type de cryptage pour une interface. Définition de l'authentification dans une area OSPF Cette tâche explique comment définir l'authentification dans une area OSPF Résumé des étapes 1. enable 2. configure terminal 3. ipv6 router ospf process-id 4. area area-id authentication ipsec spi spi md5 [key-encryption-type] key Etapes détaillées Commande ou Action But enable Exemple: Routeur> enable Valide le mode EXEC privilégié. • Entrez un mot de passe si cela est demandé configure terminal Routeur# configure terminal Entrée en mode de configuration global.
3. ipv6 router ospf process-id Commande ou Action But ipv6 router ospf process-id Exemple: Routeur(config)# ipv6 router ospf 1 Valide le mode de configuration routeur OSPF. area area-id authentication ipsec spi spi md5 [key-encryption-type] key Routeur(config-rtr)# area 1 authentication ipsec spi 678 md5 1234567890ABCDEF1234567890ABCDEF Valide l'authentification dans une area OSPF. Définition du cryptage dans une area OSPF Cette tâche décrit comment définir le cryptage dans une area OSPF. Résumé des étapes 1. enable 2. configure terminal 3. ipv6 router ospf process-id 4. area area-id encryption ipsec spi spi esp encryption-algorithm [[key-encryption-type] key] authentication-algorithm [key-encryption-type] key Etapes détaillées Commande ou Action But enable Exemple: Routeur> enable Valide le mode EXEC privilégié. • Entrez un mot de passe si cela est demandé configure terminal Routeur# configure terminal Entrée en mode de configuration global. ipv6 router ospf process-id Routeur(config)# ipv6 router ospf 1 Valide le mode de configuration routeur OSPF. area area-id encryption ipsec spi spi esp encryption-algorithm [[key-encryption-type] key] authentication-algorithm [key-encryption-type] key Routeur(config-rtr)# area 1 encryption ipsec spi 500 esp null md5 1aaa2bbb3ccc4ddd5eee6fff7aaa8bbb Valide le cryptage dans une area OSPF.
"virtual links" dans une area OSPF. Résumé des tapes 1. enable Définition de l'authentification et du cryptage pour une virtual link dans une area OSPF La tâche suivante décrit comment définir l'authentification et le cryptage pour des "virtual links" dans une area OSPF. Résumé des tapes 1. enable 2. configure terminal 3. ipv6 router ospf process-id 4. area area-id virtual-link router-id authentication ipsec spi spi authentication-algorithm [key-encryption-type] key 5. area area-id virtual-link router-id encryption ipsec spi spi esp encryption-algorithm [[key-encryption-type] key] authentication-algorithm [key-encryption-type] key Etapes détaillées Commande ou Action But enable Exemple: Routeur> enable Valide le mode EXEC privilégié. • Entrez un mot de passe si cela est demandé configure terminal Routeur# configure terminal Entrée en mode de configuration global. ipv6 router ospf process-id Routeur(config)# ipv6 router ospf 1 Valide le mode de configuration routeur OSPF. area area-id virtual-link router-id authentication ipsec spi spi authentication-algorithm [key-encryption-type] key Routeur(config-rtr)# area 1 virtual-link 10.0.0.1 authentication ipsec spi 940 md5 1234567890ABCDEF1234567890ABCDEF Valide l'authentification pour des "virtual links" dans une area OSPF. encryption ipsec spi spi esp encryption-algorithm [[key-encryption- type] key] authentication-algorithm [key-encryption-type] key 10.1.0.1 hello-interval 2 dead-interval 10 encryption ipsec spi 3944 esp null sha1 123456789A123456789B123456789C123456789D Valide le cryptage pour des "virtual links" dans une area OSPF.
Configuration d'interfaces NBMA Vous pouvez adapter OSPF pour IPv6 dans votre réseau pour utiliser des interfaces NBMA. OSPF pour IPv6 ne peut pas détecter automatiquement des voisins sur des interfaces NBMA. Sur une interface NBMA vous devez configurer vos voisins manuelle- ment en utilisant le mode de configuration interface. Cette tâche explique comment configurer des interfaces NBMA. Prérequis Avant de configurer des interfaces NBMA, vous devez réaliser les tâches suivantes: ● Configurez votre réseau pour qu'il soit un réseau NBMA ● Identifiez chaque voisin Restrictions ● Vous ne pouvez détecter automatiquement les voisins quand vous utilisez des in- terfaces NBMA. Vous devez configurer manuellement votre routeur pour qu'il dé tecte les voisins quand il utilise une interface NBMA. ● Quand vous utilisez la commande ipv6 neighbor, l'adresse IPv6 utilisée doit être l'adresse "link local" du voisin. Résumé des étapes 1. enable 2. configure terminal 3. interface type number 4. frame-relay map ipv6 ipv6-address dlci [broadcast] [cisco] [ietf] [payload-compression {packet-by-packet | frf9 stac [hardware-options] | data-stream stac [hardware-options]}] 5. ipv6 ospf neighbor ipv6-address [priority number] [poll-interval seconds] [cost number] [database-filter all out] Commande ou Action But enable Exemple: Routeur> enable Valide le mode EXEC privilégié. • Entrez un mot de passe si cela est demandé configure terminal Routeur# configure terminal Entrée en mode de configuration global. interface type number Routeur(config)# interface serial 0 Spécifie un type et numéro d'interfa- ce et place le routeur en mode de configuration interface.
Commande ou Action But frame-relay map ipv6 ipv6-address dlci [broadcast] [cisco] [ietf] [payload- compression {packet-by-packet | frf9 stac [hardware-options] | data-stream stac [hardware-options]}] Exemple: Routeur(config-if)# frame-relay map ipv6 FE80::A8BB:CCFF:FE00:C01 120 Définit la correspondance entre l'adresse destination IPv6 et le DLCI (Data-link connection Identi- fier) utilisé pour connecter l'adresse destination. • Dans cet exemple, la liaison NBMA est Frame relay. Pour d'autres sortes de liaisons NBMA, diffé- rentes commandes de correspondance sont utilisées. ipv6 ospf neighbor ipv6-address [priority number] [poll-interval seconds] [cost number] [database-filter all out] Routeur(config-if) ipv6 ospf neighbor FE80::A8BB:CCFF:FE00:C01 Configure un routeur voisin pour OSPF pour IPv6. Forcer le calcul du SPF Cette tâche explique comment démarrer l'algorithme SPF sans effacer la base de don- nées OSPF. Etapes détaillées 1. enable 2. clear ipv6 ospf [process-id] {process | force-spf | redistribution} Etapes détaillées Commande ou Action But enable Exemple: Routeur> enable Valide le mode EXEC privilégié. • Entrez un mot de passe si cela est demandé clear ipv6 ospf [process-id] {process | force-spf | redistribution} Routeur# clear ipv6 ospf force-spf Efface l'état OSPF en faisant référen- ce à l'ID du processus de routage.
Vérification de la configuration et du fonctionnement d'OSPF pour IPv6 Cette tâche explique comment afficher les informations pour vérifier la configuration et le fonctionnement d'OSPF pour IPv6. Résumé des étapes 1. enable 2. show ipv6 ospf [process-id] [area-id] interface [interface-type interface-number] 3. show ipv6 ospf [process-id] [area-id] 4. show crypto ipsec policy [name policy-name] 5. show crypto ipsec sa [map map-name | address | identity | interface interface-type interface-number | peer [vrf fvrf-name] address | vrf ivrf-name | ipv6 [interface-type interface-number]] [detail] Etapes détaillées Commande ou Action But enable Exemple: Routeur> enable Valide le mode EXEC privilégié. • Entrez un mot de passe si cela est demandé show ipv6 ospf [process-id] [area-id] interface [interface-type interface- number] Routeur# show ipv6 ospf interface Affiche les informations liées à OSPF pour une interface. Routeur# show ipv6 ospf Affiche des informations générales sur le processus de routage OSPF. show crypto ipsec policy [name policy- name] Routeur# show crypto ipsec policy Affiche les paramètres IPSec. show crypto ipsec sa [map map-name | address | identity | interface interface-type interface-number | peer [vrf fvrf-name] address | vrf ivrf-name | ipv6 [interface-type interface- number]] [detail] Routeur# show crypto ipsec sa ipv6 Affiche la configuration utilisée par les associations de sécurité courantes.
Exemples Cette section fournit les exemples de sortie suivants: ● Sortie de la commande show ipv6 ospf interface ● Sortie de la commande show ipv6 ospf ● Sortie de la commande show crypto ipsec policy ● Sortie de la commande show crypto ipsec sa ipv6 Sortie de la commande show ipv6 ospf interface L'exemple suivant est une sortie de la commande show ipv6 ospf interface avec des interfaces standards et une virtual link avec de l'authentification et du cryptage. Router# show ipv6 ospf interface OSPFv3_VL1 is up, line protocol is up Interface ID 69 Area 0, Process ID 1, Instance ID 0, Router ID 10.0.0.1 Network Type VIRTUAL_LINK, Cost: 64 Configured as demand circuit. Run as demand circuit. DoNotAge LSA allowed. NULL encryption SHA-1 auth SPI 3944, secure socket UP (errors: 0) Transmit Delay is 1 sec, State POINT_TO_POINT, Timer intervals configured, Hello 2, Dead 10, Wait 40, Retransmit 5 Hello due in 00:00:00 Index 1/3/5, flood queue length 0 Next 0x0(0)/0x0(0)/0x0(0) Last flood scan length is 1, maximum is 1 Last flood scan time is 0 msec, maximum is 0 msec Neighbor Count is 1, Adjacent neighbor count is 1 Adjacent with neighbor 10.2.0.1 (Hello suppressed) Suppress hello for 1 neighbor(s) OSPFv3_VL0 is up, line protocol is up Interface ID 67 Network Type VIRTUAL_LINK, Cost: 128 MD5 authentication SPI 940, secure socket UP (errors: 0) Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 Hello due in 00:00:09 Index 1/2/4, flood queue length 0 Last flood scan length is 1, maximum is 10
Neighbor Count is 1, Adjacent neighbor count is 1 Adjacent with neighbor 10.1.0.1 (Hello suppressed) Suppress hello for 1 neighbor(s) Ethernet1/0 is up, line protocol is up Link Local Address FE80::A8BB:CCFF:FE00:6601, Interface ID 6 Area 0, Process ID 1, Instance ID 0, Router ID 10.0.0.1 Network Type BROADCAST, Cost: 10 Transmit Delay is 1 sec, State DR, Priority 1 Designated Router (ID) 10.0.0.1, local address FE80::A8BB:CCFF:FE00:6601 No backup designated router on this network Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5 Hello due in 00:00:09 Index 1/1/1, flood queue length 0 Next 0x0(0)/0x0(0)/0x0(0) Last flood scan length is 0, maximum is 0 Last flood scan time is 0 msec, maximum is 0 msec Neighbor Count is 0, Adjacent neighbor count is 0 Suppress hello for 0 neighbor(s) Serial12/0 is up, line protocol is up Link Local Address FE80::A8BB:CCFF:FE00:6600, Interface ID 50 Area 1, Process ID 1, Instance ID 0, Router ID 10.0.0.1 Network Type POINT_TO_POINT, Cost: 64 AES-CBC encryption SHA-1 auth SPI 2503, secure socket UP (errors: 0) authentication NULL Transmit Delay is 1 sec, State POINT_TO_POINT, Index 1/2/3, flood queue length 0 Last flood scan length is 1, maximum is 5 Adjacent with neighbor 10.2.0.1 Serial11/0 is up, line protocol is up Link Local Address FE80::A8BB:CCFF:FE00:6600, Interface ID 46 MD5 authentication (Area) SPI 500, secure socket UP (errors: 0) Index 1/1/2, flood queue length 0 Adjacent with neighbor 1.0.0.1
Sortie de la commande show crypto ipsec policy Sortie de la commande show ipv6 ospf L'exemple suivant est une sortie de la commande show ipv6 ospf: Router# show ipv6 ospf Routing Process "ospfv3 1" with ID 172.16.3.3 It is an autonomous system boundary router Redistributing External Routes from, static SPF schedule delay 5 secs, Hold time between two SPFs 10 secs Minimum LSA interval 5 secs. Minimum LSA arrival 1 secs LSA group pacing timer 240 secs Interface flood pacing timer 33 msecs Retransmission pacing timer 66 msecs Number of external LSA 1. Checksum Sum 0x218D Number of areas in this router is 1. 1 normal 0 stub 0 nssa Area 1 Number of interfaces in this area is 2 SPF algorithm executed 9 times Number of LSA 15. Checksum Sum 0x67581 Number of DCbitless LSA 0 Number of indication LSA 0 Number of DoNotAge LSA 0 Flood list length 0 Sortie de la commande show crypto ipsec policy L'exemple suivant est une sortie de la commande show crypto ipsec policy: Router# show crypto ipsec policy Crypto IPsec client security policy data Policy name: OSPFv3-1-1000 Policy refcount: 1 Inbound AH SPI: 1000 (0x3E8) Outbound AH SPI: 1000 (0x3E8) Inbound AH Key: 1234567890ABCDEF1234567890ABCDEF Outbound AH Key: 1234567890ABCDEF1234567890ABCDEF Transform set: ah-md5-hmac
Sortie de la commande show crypto ipsec sa ipv6 L'exemple suivant et une sorite de la commande show crypto ipsec sa ipv6: Router# show crypto ipsec sa ipv6 IPv6 IPsec SA info for interface Ethernet0/0 protected policy name:OSPFv3-1-1000 IPsec created ACL name:Ethernet0/0-ipsecv6-ACL local ident (addr/prefixlen/proto/port):(FE80::/10/89/0) remote ident (addr/prefixlen/proto/port):(::/0/89/0) current_peer::: PERMIT, flags={origin_is_acl,} #pkts encaps:21, #pkts encrypt:0, #pkts digest:21 #pkts decaps:20, #pkts decrypt:0, #pkts verify:20 #pkts compressed:0, #pkts decompressed:0 #pkts not compressed:0, #pkts compr. failed:0 #pkts not decompressed:0, #pkts decompress failed:0 #send errors 0, #recv errors 0 local crypto endpt. ::, remote crypto endpt. :: path mtu 1500, media mtu 1500 current outbound spi:0x3E8(1000) inbound ESP SAs: inbound AH SAs: spi:0x3E8(1000) transform:ah-md5-hmac , in use settings ={Transport, } slot:0, conn_id:2000, flow_id:1, crypto map:N/R no sa timing (manual-keyed) replay detection support:N inbound PCP SAs: outbound ESP SAs: outbound AH SAs: slot:0, conn_id:2001, flow_id:2, crypto map:N/R outbound PCP SAs:
Exemples de configuration pour l'implémentation de OSPF pour IPv6 Cette section fournit les exemples de configuration suivants: ● Validation d'OSPF pour IPv6 sur une interface ● Définir un intervalle d'area pour OSPF pour IPv6 ● Définir l'authentification sur une interface ● Définir l'authentification dans une area OSPF ● Configuration d'interfaces NBMA ● Forcer le SPF Validation d'OSPF pour IPv6 sur une interface L'exemple suivant configure le processus de routage OSPF numéro 109 pour opérer sur l'interface et placer celle-ci dans l'area 1. ipv6 ospf 109 area 1 Définir un intervalle d'area pour OSPF pour IPv6 L'exemple suivant spécifie un intervalle d'area OSPF pour IPv6. interface Ethernet7/0 ipv6 address 2001:0DB8:0:0:7::/64 eui-64 ipv6 enable ipv6 ospf 1 area 1 ! interface Ethernet8/0 ipv6 address 2001:0DB8:0:0:8::/64 eui-64 interface Ethernet9/0 ipv6 address 2001:0DB8:0:0:9::/64 eui-64 ipv6 router ospf 1 router-id 10.11.11.1 area 1 range 2001:0DB8::/48
Définir l'authentification sur une interface L'exemple suivant définit l'authentification sur l'interface Ethernet 0/0. interface Ethernet0/0 ipv6 enable ipv6 ospf 1 area 0 ipv6 ospf authentication ipsec spi 500 md5 1234567890ABCDEF1234567890ABCDEF ipv6 ospf authentication null Définir l'authentification dans une area OSPF L'exemple suivant définit l'authentification dans l'area OSPF 0. ipv6 router ospf 1 router-id 11.11.11.1 area 0 authentication ipsec spi 1000 md5 1234567890ABCDEF1234567890ABCDEF Configurer des interfaces NBMA L'exemple suivant configure un routeur voisin dont l'adresse IPv6 est : FE80::A8BB:CCFF:FE00:C01. interface serial 0 encapsulation frame-relay frame-relay map ipv6 FE80::A8BB:CCFF:FE00:C01 120 ipv6 ospf neighbor FE80::A8BB:CCFF:FE00:C0 Forcer le calcul du SPF L'exemple suivant déclenche le calcul du SPF et remet à jour la table de routage. clear ipv6 ospf force-spf
Références additionnelles Documents liés Sujet Titre du Document OSPF for IPv4 tasks “OSPF” chapter of the Cisco IOS IP Routing Protocols Configuration Guide, Release 12.4 OSPF for IPv4 commands Cisco IOS IP Routing Protocols Command Reference, Release 12.4 Configuring a router ID in OSPF OSPF for IPv6 commands Cisco IOS IPv6 Command Reference IPv6 supported feature list Start Here: Cisco IOS Software Release Specifics for IPv6 Features Getting IPv6 started Implementing Addressing and Basic Connectivity for IPv6 IPSec for IPv6 Implementing IPSec for IPv6 Security Security configuration tasks (IPv4) Cisco IOS Security Configuration Guide Security commands: complete command syntax, command mode, defaults, usage guidelines, and examples (IPv4) Cisco IOS Security Command Reference IPv4 configuration and command reference information Cisco IOS Configuration Guides and Command References, Release 12.4 Standards Standards Titre Aucun standard modifié ou nouveau n'est sup- porté par cette fonctionnalité et le support de standards existants n'a pas été modifié pour cette fonctionnalité. --- MIBs MIBs Lien MIBs • CISCO-IETF-IP-FORWARD-MIB • CISCO-IETF-IP-MIB To locate and download MIBs for selected platforms, Cisco IOS releases, and feature sets, use Cisco MIB Locator found at the following URL: http://www.cisco.com/go/mibs
RFCs RFCs Titre RFC 2401 Security Architecture for the Internet Protocol RFC 2402 IP Authentication Header RFC 2406 IP Encapsulating Security Payload (ESP) RFC 2740 OSPF for IPv6 RFC 4552 Authentication/Confidentiality for OSPFv3