簡介
本檔案介紹如何使用FMC作為管理器對FTD裝置上的OSPF組態進行驗證和疑難排解。
必要條件
需求
思科建議您瞭解以下主題:
- 開放最短路徑優先(OSPF)概念和功能
- 思科安全防火牆管理中心(FMC)
- 思科安全防火牆威脅防禦(FTD)
採用元件
本文中的資訊係根據以下軟體和硬體版本:
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
OSPF背景
可以在FMC上配置OSPF,以便在FTD裝置和其他支援OSPF的裝置之間使用動態路由。
FMC允許為不同的一組介面同時運行兩個OSPF進程。
每台裝置都有一個路由器ID,與OSPF進程中的裝置名稱類似。預設情況下,此介面設定為較低介面IP,但可以自定義為不同的IP。
需要注意的重要一點是,這些引數必須在鄰居上匹配才能形成OSPF鄰接關係:
- 介面屬於同一個IP網路
- 子網路遮罩
- 區域
- Hello間隔和Dead間隔
- MTU
- 區域型別(正常/NSSA/末節)
- 驗證
基本配置
本節顯示為OSPF配置的基本引數,以開始搜尋與其鄰居的鄰接關係。
1.導航到Devices > Device Management > Edit device
2.按一下Routing頁籤。
3.按一下左側選單欄上的OSPF。
4.選擇Process 1以啟用OSPF配置。FTD可以在不同的介面組上同時執行兩個程式。
區域邊界路由器(ABR)位於兩個不同區域之間,而自治系統邊界路由器(ASBR)位於使用其他路由協定的裝置之間。
5.選擇OSPF role作為Internal、ABR、ASBR以及ABR和ASBR。
角色選擇
6.(可選)更改自動路由器ID。選擇OSPF role旁邊的Advanced,然後選擇Router ID as IP address對其進行自定義。
路由器ID選擇
7.選擇區域>新增。
8.輸入區域資訊:
9.按一下OK儲存配置。
區域選擇
再分發
FTD可以將路由從一個OSPF進程重分發到另一個OSPF進程。重分發還可以從RIP、BGP、EIGRP(7.2+版)、靜態路由和連線路由重分發到OSPF路由進程。
1.要配置OSPF重分發,請導航到Devices > Device Management > Edit device。
2.按一下路由
3.按一下OSPF。
4.選擇Redistribution > Add。
5.輸入重新分發欄位:
- OSPF進程
- 路由型別(從重分發位置)
- 靜態
- 已連線
- OSPF進程
- BGP
- RIP
- EIGRP
對於BGP和EIGRP,新增AS編號。
6.(可選)選擇是否使用子網。
7.選擇度量型別。
- 第1類使用外部度量,並新增通向ASBR的每一跳的內部開銷。
- 型別2僅使用外部度量。
8.按一下確定儲存更改。
重新分發配置
篩選
您可以執行區域間過濾,從而限制從一個區域傳送到另一個區域的入站或出站路由。此操作僅在ABR上執行。
使用字首清單配置過濾,這些字首清單隨後連結到OSPF配置。這是一項可選功能,OSPF無需使用此功能。
1.要配置OSPF區域間過濾,請導航至Devices > Device Management > Edit device。
2.按一下路由
3.按一下OSPF。
4.選擇「區域間」>「新增」。
5.配置過濾欄位:
- OSPF進程
- 區域ID
- 字首清單
- 流量方向 — 入站或出站
區域間過濾配置
6.如果您已配置字首清單,請轉至步驟10。如果需要建立新加號,可以選擇加號或從Objects > Object Management > Prefix Lists > IPv4 prefix list > Add建立。
7.按一下Add條目。
8.使用以下欄位配置字首清單:
- 序列號
- IP 位址
- 動作
- 最小/最大字首長度(可選)
Prefix-list對象編輯
9.按一下確定儲存字首清單。
10.按一下OK儲存區域間配置。
介面引數
對於參與OSPF的每個介面,可以修改某些引數。
1.要配置OSPF介面引數,請導航至Devices > Device Management > Edit device。
2.按一下路由
3.按一下OSPF。
4.選擇Interface > Add。
5.選擇要修改的引數
Hello和Dead計時器
傳送OSPF Hello資料包以維護裝置之間的鄰接關係。這些資料包以可配置的間隔傳送。如果裝置在死時間隔內未收到來自鄰居的hello資料包(也可以配置),則該鄰居將更改為down狀態。
預設情況下,Hello間隔為10秒,Dead間隔是Hello間隔的四倍,即40秒。這些間隔必須在鄰居之間匹配。
計時器配置
MTU Ignore-OSPF
MTU ignore覈取方塊用於避免OSPF鄰接由於鄰居介面之間的MTU不匹配而停滯在EXSTART狀態。驗證MTU匹配是因為在該狀態下,DBD在鄰居之間傳送,大小差異可能會造成問題。但是,最佳做法是保持未選中此選項。
MTU忽略檢查配置
驗證
您可以選擇三種不同型別的介面OSPF身份驗證。預設情況下,身份驗證未啟用。
建議使用MD5作為身份驗證,因為它是提供安全性的雜湊演算法。
配置MD5 ID和MD5金鑰,然後按一下OK進行儲存。
MD5金鑰配置
MD5金鑰或密碼在經過身份驗證的鄰居的介面引數上必須匹配。
一般CLI驗證
拓撲示例
請考慮以下網路拓撲範例:
網路拓撲範例
請考慮以下因素:
- OSPF在外部FTD、內部FTD和內部路由器上設定。
- 外部FTD被選為ASBR角色,內部FTD被選為ABR,內部路由器被選為內部角色。
- 區域0在外部FTD和內部FTD之間建立,而區域1在內部FTD和內部路由器之間建立。
- 外部FTD也在與其他裝置執行BGP鄰居關係。
- 自治系統312獲知的BGP路由被重分佈到OSPF中。
- MTU和間隔均使用預設值進行配置。
- 內部FTD正在過濾從內部路由器獲知的區域0的傳入區域間路由。
- 在參與OSPF的所有裝置上,介面身份驗證配置為MD5。
內部FTD
內部FTD的組態顯示如下:
使用MD5身份驗證的介面配置
interface GigabitEthernet0/0
nameif inside
security-level 0
ip address 10.6.11.1 255.255.255.0
ospf message-digest-key 1 md5 *****
ospf authentication message-digest
!
interface GigabitEthernet0/1
nameif outside
security-level 0
ip address 10.3.11.2 255.255.255.0
ospf message-digest-key 1 md5 *****
ospf authentication message-digest
!
OSPF配置表明,網路10.3.11.0/24通告到區域0,網路10.6.11.0/24通告到區域1上的鄰居。
區域間過濾將字首清單應用於進入區域0的入站路由。在此首碼清單中,來自內部路由器的網路192.168.4.0會遭到拒絕,但所有其他內容會允許通過。
內部FTD區域組態
內部FTD篩選設定
內部FTD首碼清單
router ospf 1
network 10.3.11.0 255.255.255.0 area 0
network 10.6.11.0 255.255.255.0 area 1
area 0 filter-list prefix filter_192.168.4.0 in
log-adj-changes
prefix-list filter_192.168.4.0 seq 5 deny 192.168.4.0/24
prefix-list filter_192.168.4.0 seq 10 permit 0.0.0.0/0 le 32
外部FTD
外部FTD的組態在CLI中如下所示:
使用MD5身份驗證的介面配置。
interface GigabitEthernet0/0
nameif inside
security-level 0
ip address 10.3.11.1 255.255.255.0
ospf message-digest-key 1 md5 *****
ospf authentication message-digest
!
interface GigabitEthernet0/1
nameif outside
security-level 0
ip address 172.16.11.1 255.255.255.0
!
OSPF配置顯示,路由10.3.11.0/24在區域0中通告給內部FTD。
也可以觀察到BGP重分佈到OSPF的情況。
外部FTD區域組態
外部FTD重新分發組態
router ospf 1
network 10.3.11.0 255.255.255.0 area 0
log-adj-changes
redistribute bgp 312 subnets
疑難排解指令
有幾種命令可用於確定OSPF是否按預期運行。
注意:當FTD故障排除檔案是除OSPF配置之外生成的,並且需要從FTD CLI手動輸入時,show tech files中不會顯示這些命令。
show running-config router
此命令不僅顯示OSPF,還顯示動態路由協定的配置。
在CLI中檢查OSPF相關配置很有用。
顯示路由
show route輸出表明有關當前可用路由的重要資訊。
- 通過OSPF獲知的路由以字母O表示。
- 區域間路由以字母O IA顯示。
- 通過重分佈從另一個路由協定獲知的路由顯示字母O E1或O E2,具體取決於所選的度量型別。
內部FTD的show route輸出顯示,存在三個已知來自ASBR鄰居10.3.11.1的外部路由。
還顯示從同一區域的鄰居10.6.11.2獲知的網路192.168.4.0/24。
Internal-FTD# show route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
SI - Static InterVRF
Gateway of last resort is not set
C 10.3.11.0 255.255.255.0 is directly connected, outside
L 10.3.11.2 255.255.255.255 is directly connected, outside
O E2 10.5.11.0 255.255.255.224 [110/1] via 10.3.11.1, 6w5d, outside
O E2 10.5.11.32 255.255.255.224 [110/1] via 10.3.11.1, 6w5d, outside
O E2 10.5.11.64 255.255.255.224 [110/1] via 10.3.11.1, 6w5d, outside
C 10.6.11.0 255.255.255.0 is directly connected, inside
L 10.6.11.1 255.255.255.255 is directly connected, inside
O 192.168.4.0 255.255.255.0 [110/20] via 10.6.11.2, 02:19:24, inside
從外部FTD可以觀察到,路由10.6.11.0/24從鄰居10.3.11.2得知並屬於不同的區域。
在此輸出中未觀察到路由192.168.4.0/24,因為它已在內部FTD上篩選。
此外,從另一台裝置獲知的三條BGP路由被重分發到OSPF作為外部第2類路由,如內部FTD所示。
External-FTD# show route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
SI - Static InterVRF, BI - BGP InterVRF
Gateway of last resort is not set
C 10.3.11.0 255.255.255.0 is directly connected, inside
L 10.3.11.1 255.255.255.255 is directly connected, inside
B 10.5.11.0 255.255.255.224 [20/0] via 172.16.11.2, 6w5d
B 10.5.11.32 255.255.255.224 [20/0] via 172.16.11.2, 6w5d
B 10.5.11.64 255.255.255.224 [20/0] via 172.16.11.2, 6w5d
O IA 10.6.11.0 255.255.255.0 [110/20] via 10.3.11.2, 02:03:27, inside
C 172.16.11.0 255.255.255.0 is directly connected, outside
L 172.16.11.1 255.255.255.255 is directly connected, outside
show ospf neighbor
此命令有助於驗證OSPF鄰接關係的狀態,以及該鄰居是否為指定路由器(DR)、備用指定路由器(BDR)或其他(DROTHER)。
DR是在網路發生更改時更新同一子網中其餘裝置的裝置。如果不再可用,則BDR將擔任DR角色。
這也很有用,因為它顯示了鄰居的路由器ID,以及鄰居的IP地址和已知介面。
還會觀察停頓時間倒計時。如果您有預設計時器,您可以看到在傳送新的hello資料包和重新啟動計時器之前,時間從00:40縮短到00:30。
如果此時一直為零,則鄰接關係將丟失。
在本範例中,內部FTD輸出顯示,此裝置是兩個鄰居各自處於完整狀態的BDR,且可從每個介面連線至DR。它們的路由器ID分別為10.3.11.1和192.168.4.1。
Internal-FTD# show ospf neighbor
Neighbor ID Pri State Dead Time Address Interface
10.3.11.1 1 FULL/DR 0:00:38 10.3.11.1 outside
192.168.4.1 1 FULL/DR 0:00:33 10.6.11.2 inside
show ospf interface
show ospf interface輸出顯示詳細資訊,並提供每個已配置介面上OSPF進程的更廣闊的視野。
以下是此輸出中可見的一些引數:
- OSPF進程ID
- 路由器ID
- 指標(成本)
- 狀態 — DR、BDR或DROTHER
- 誰是DR和BDR。
- Hello和Dead計時器間隔
- 鄰居摘要
- 身份驗證詳細資訊
在內部FTD的下一個輸出中,可以觀察到,此裝置確實是兩個介面上的BDR,且此鄰居與來自show ospf neighbors的資訊相符。
Internal-FTD#show ospf interface
outside is up, line protocol is up
Internet Address 10.3.11.2 mask 255.255.255.0, Area 0
Process ID 1, Router ID 10.6.11.1, Network Type BROADCAST, Cost: 10
Transmit Delay is 1 sec, State BDR, Priority 1
Designated Router (ID) 10.3.11.1, Interface address 10.3.11.1
Backup Designated router (ID) 10.6.11.1, Interface address 10.3.11.2
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
oob-resync timeout 40
Hello due in 0:00:04
Supports Link-local Signaling (LLS)
Cisco NSF helper support enabled
IETF NSF helper support enabled
Index 1/1, flood queue length 0
Next 0x0(0)/0x0(0)
Last flood scan length is 1, maximum is 2
Last flood scan time is 0 msec, maximum is 0 msec
Neighbor Count is 1, Adjacent neighbor count is 1
Adjacent with neighbor 10.3.11.1 (Designated Router)
Suppress hello for 0 neighbor(s)
Cryptographic authentication enabled
Youngest key id is 1
inside is up, line protocol is up
Internet Address 10.6.11.1 mask 255.255.255.0, Area 1
Process ID 1, Router ID 10.6.11.1, Network Type BROADCAST, Cost: 10
Transmit Delay is 1 sec, State BDR, Priority 1
Designated Router (ID) 192.168.4.1, Interface address 10.6.11.2
Backup Designated router (ID) 10.6.11.1, Interface address 10.6.11.1
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
oob-resync timeout 40
Hello due in 0:00:03
Supports Link-local Signaling (LLS)
Cisco NSF helper support enabled
IETF NSF helper support enabled
Index 1/2, flood queue length 0
Next 0x0(0)/0x0(0)
Last flood scan length is 1, maximum is 2
Last flood scan time is 0 msec, maximum is 0 msec
Neighbor Count is 1, Adjacent neighbor count is 1
Adjacent with neighbor 192.168.4.1 (Designated Router)
Suppress hello for 0 neighbor(s)
Cryptographic authentication enabled
Youngest key id is 1
show ospf database
此命令具有有關OSPF的鏈路狀態通告(LSA)型別的詳細資訊。輸出非常複雜,僅有助於進行更深入的故障排除。
LSA是OSPF在裝置之間交換資訊和更新,而不是傳送完整的路由表的方式。
最常見的LSA型別包括:
第1類 — 路由器鏈路狀態 — 通告路由器的路由器ID
第2類 — 網路鏈路狀態 — 與指定路由器連線在同一鏈路中的介面。
第3類 — 總結網路鏈路狀態 — 區域邊界路由器(ABR)注入此區域的區域間路由。
第4類 — 彙總ASB鏈路狀態 — 自治系統邊界路由器(ASBR)的路由器ID。
第5類 — AS外部鏈路狀態 — 從ASBR獲知的外部路由。
有鑑於此,此命令的輸出可從內部FTD範例中解釋。
- 資料庫按區域顯示。
- 「連結ID」列包含要注意的重要資訊。
- 如前所述,型別1顯示區域中每台裝置的路由器ID,型別2顯示每個子網鏈路的DR。在本例中,10.3.11.1表示區域0,10.6.11.2表示區域1。
- 型別3顯示區域0的ABR 10.6.11.0和區域1的10.3.11.0注入相應區域的區域間路由。
- 第4類顯示ASBR的路由器ID。區域1看到10.3.11.1裝置是進程的ASBR。
- 第5類顯示ASBR重新分發的路由。在本例中,有三個外部路由:10.5.11.0、10.5.11.32和10.5.11.64。
Internal-FTD# show ospf database
OSPF Router with ID (10.6.11.1) (Process ID 1)
Router Link States (Area 0)
Link ID ADV Router Age Seq# Checksum Link count
10.3.11.1 10.3.11.1 234 0x8000002b 0x4c4d 1
10.6.11.1 10.6.11.1 187 0x8000002e 0x157b 1
Net Link States (Area 0)
Link ID ADV Router Age Seq# Checksum
10.3.11.1 10.3.11.1 234 0x80000029 0x7f2b
Summary Net Link States (Area 0)
Link ID ADV Router Age Seq# Checksum
10.6.11.0 10.6.11.1 187 0x8000002a 0x7959
Router Link States (Area 1)
Link ID ADV Router Age Seq# Checksum Link count
10.6.11.1 10.6.11.1 187 0x8000002c 0x513b 1
192.168.4.1 192.168.4.1 1758 0x8000002a 0x70f1 2
Net Link States (Area 1)
Link ID ADV Router Age Seq# Checksum
10.6.11.2 192.168.4.1 1759 0x80000028 0xd725
Summary Net Link States (Area 1)
Link ID ADV Router Age Seq# Checksum
10.3.11.0 10.6.11.1 189 0x80000029 0x9f37
Summary ASB Link States (Area 1)
Link ID ADV Router Age Seq# Checksum
10.3.11.1 10.6.11.1 189 0x80000029 0x874d
Type-5 AS External Link States
Link ID ADV Router Age Seq# Checksum Tag
10.5.11.0 10.3.11.1 1726 0x80000028 0x152b 311
10.5.11.32 10.3.11.1 1726 0x80000028 0xd34c 311
10.5.11.64 10.3.11.1 1726 0x80000028 0x926d 311
相關資訊