Segurança : Dispositivos de segurança adaptáveis Cisco ASA 5500 Series

O ASA libera um exemplo de configuração de 9.2.1 realces OSPF

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Introdução

Este documento explica os novos recursos e os comandos introduzidos no Software Release 9.2.1 adaptável da ferramenta de segurança (ASA) relativo ao protocolo do Open Shortest Path First (OSPF).

Contribuído por Magnus Mortensen e por Dinkar Sharma, engenheiros de TAC da Cisco.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

A informação neste documento é baseada no Firewall do 5500-X Series de Cisco ASA que executa o software release de Cisco ASA 9.2.(1) e mais atrasado.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Configurar

Nota: Use a Command Lookup Tool ( somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Configurações

Apoio OSPF para hellos rápidos

Os pacotes de hello de OSPF são os pacotes que um processo de OSPF envia a seus vizinhos de OSPF a fim manter a Conectividade com aqueles vizinhos. Estes pacotes Hello são enviados em um intervalo configurável (nos segundos). Os padrões são os segundos 10 para umas ligações de Ethernet e os 30 segundos para um link sem transmissão. Os pacotes Hello incluem uma lista de todos os vizinhos para que um pacote Hello foi recebido dentro do intervalo inoperante. O intervalo inoperante é igualmente um intervalo configurável (nos segundos) e padrões a quatro vezes o valor do intervalo de hello. O valor de todos os intervalos de hello deve ser o mesmo dentro de uma rede. Igualmente, o valor de todos os intervalos inoperantes deve ser o mesmo dentro de uma rede.

Os pacotes Hello rápidos OSPF referem os pacotes Hello que são enviados em intervalos de menos de 1 segundos. A fim permitir pacotes Hello rápidos OSPF, incorpore o comando do intervalo inoperante OSPF. Para secundário-segundos hellos, o intervalo inoperante é ajustado a 1 segundos ou mínimo e o valor do olá!-multiplicador é ajustado ao número de pacotes Hello que você quer enviado naquele 1 segundos. Por exemplo, se o intervalo inoperante é ajustado para 1 segundo, e o olá!-multiplicador é ajustado para 4, hellos será enviado cada 0.25 segundos.

Quando os pacotes Hello rápidos são configurados na relação, o intervalo de hello anunciou nos pacotes Hello que são mandados esta relação são ajustados a 0. O intervalo de hello nos pacotes Hello recebidos sobre esta relação é ignorado. É importante notar que o o intervalo inoperante deve ser consistente em um segmento. Se está ajustado a 1 segundo (para pacotes Hello rápidos) ou ao grupo a todo o outro valor, deve ser consistente através dos vizinhos nesse segmento. Olá! o multiplicador não precisa de ser o mesmo para o segmento inteiro enquanto pelo menos um pacote Hello é enviado dentro do intervalo inoperante.

A fim permitir hellos rápidos com um múltiplo de 4, incorpore o comando mínimo do olá!-multiplicador 4 do intervalo inoperante OSPF sob a configuração da interface apropriada.

 interface GigabitEthernet0/0
nameif inside
security-level 100
ip address 198.51.100.1 255.255.255.0
ospf dead-interval minimal hello-multiplier 4

router ospf 1
network 198.51.100.0 255.255.255.0 area 0

Verifique com o comando interface OSPF da mostra.

asa(config)# show ospf interface

inside is up, line protocol is up
Internet Address 198.51.100.1 mask 255.255.255.0, Area 0
Process ID 928, Router ID 198.51.100.1, Network Type BROADCAST, Cost: 10
Transmit Delay is 1 sec, State DR, Priority 1
Designated Router (ID) 198.51.100.1, Interface address 198.51.100.1
No backup designated router on this network
Timer intervals configured, Hello 250 msec, Dead 1, Wait 1, Retransmit 5
Hello due in 48 msec
Index 1/1, flood queue length 0
Next 0x0(0)/0x0(0)
Last flood scan length is 0, maximum is 0
Last flood scan time is 0 msec, maximum is 0 msec
Neighbor Count is 0, Adjacent neighbor count is 0
Suppress hello for 0 neighbor(s)

Comandos novos do temporizador OSPF para o anúncio link state e o estrangulamento SPF

Estes comandos foram introduzidos na liberação 9.2.1 ASA e mais atrasado: a chegada LSA dos temporizadores, os temporizadores que passeiam, temporizadores estrangula o LSA e os temporizadores estrangula o spf como parte da configuração de roteador OSPF.

asa(config-router)# timers ?

router mode commands/options:
lsa OSPF LSA timers
pacing OSPF pacing timers
throttle OSPF throttle timers

Estes comandos foram removidos: temporizadores spf e LSA-agrupar-passeio dos temporizadores.

Mais informação sobre os benefícios da propaganda do estado do link (LSA) e do caminho mais curto primeiramente (SPF) que estrangula pode ser encontrada nestes documentos:

Rota de OSPF que filtra com um ACL

O filtragem de rota com um Access Control List (ACL) é apoiado agora. Isto é conseguido com o comando distribute-list às rotas de filtro.

Por exemplo, a fim filtrar para fora rotas para 10.20.20.0/24, a configuração olharia como esta:

access-list ospf standard deny host 10.20.20.0
access-list ospf standard permit any4
!
router ospf 1
 network 198.51.100.0 255.255.255.0 area 0
 log-adj-changes
 distribute-list ospf in interface inside

Quando o ACL associado é verificado, indica que tem o incremento de contagens batidas:

asa(config)# show access-list ospf
access-list ospf; 2 elements; name hash: 0xb5dd06eb
access-list ospf line 1 standard deny host 10.20.20.0 (hitcnt=1) 0xe29503b8
access-list ospf line 2 standard permit any4 (hitcnt=2) 0x51ff4e67

Além, se pode verificar o Routing Information Base (RIB) no ASA a fim verificar mais a funcionalidade. Inscreva o comando detail do RIB OSPF da mostra a fim relatar suportam o base de dados da informação de roteamento completo para o processo do OSPF Router. “Embandeira” associado com cada rota indicam mesmo se esteve instalada no RIB.

asa(config)# show ospf rib detail

            OSPF Router with ID (198.51.100.10) (Process ID 1)
OSPF local RIB
Codes: * - Best, > - Installed in global RIB

*>  172.18.124.0/32, Intra, cost 11, area 0
     SPF Instance 13, age 0:13:59
     Flags: RIB, HiPrio
      via 198.51.100.2, inside, flags: RIB
       LSA: 1/198.51.100.2/198.51.100.2
*   10.20.20.0/32, Intra, cost 11, area 0
     SPF Instance 13, age 0:13:59
     Flags: HiPrio
      via 198.51.100.2, inside, flags: none
       LSA: 1/198.51.100.2/198.51.100.2
*>  192.168.10.0/32, Intra, cost 11, area 0
     SPF Instance 13, age 0:13:59
     Flags: RIB, HiPrio
      via 198.51.100.2, inside, flags: RIB
       LSA: 1/198.51.100.2/198.51.100.2
*   198.51.100.0/24, Intra, cost 10, area 0
     SPF Instance 13, age 0:52:52
     Flags: Connected
      via 198.51.100.10, inside, flags: Connected
       LSA: 2/198.51.100.2/192.151.100.10

Na saída acima, o Roteadores alistado com bandeiras “RIB” esteve instalado, quando a rota com bandeiras “nenhuns” não for instalada. Isto deve ser refletido na tabela de roteamento global também. Verifique com o comando show route

asa(config)# show route

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, + - replicated route

Gateway of last resort is 10.106.44.1 to network 0.0.0.0

S*    0.0.0.0 0.0.0.0 [1/0] via 10.106.44.1, tftp
O        172.18.124.0 255.255.255.0 [110/11] via 198.51.100.2, 00:00:03, inside
O        192.168.10.0 255.255.255.0 [110/11] via 198.51.100.2, 00:00:03, inside
O        10.20.20.0 255.255.255.0 [110/11] via 198.51.100.2, 00:00:03, inside
S        10.76.76.160 255.255.255.255 [1/0] via 10.106.44.1, tftp
C        10.86.195.0 255.255.255.0 is directly connected, management
L        10.86.195.1 255.255.255.255 is directly connected, management

Realces da monitoração OSPF

Estes comandos foram introduzidos a fim ajudar a monitorar e observar o processo do OSPF Router. Os exemplos de saída daqueles comandos são fornecidos para a referência.

mostre o resumo da relação OSPF

Incorpore o comando do resumo da relação OSPF da mostra a fim obter um instantâneo rápido das adjacências atuais neste ASA.

asa(config)# show ospf interface brief

Interface PID Area IP Address/Mask Cost State Nbrs F/C
inside 1 0 198.51.100.2/255.255.255.0 10 DR 1/1

mostre o [Detail] das estatísticas OSPF

O comando detail das estatísticas OSPF da mostra fornece uma breve descrição sobre quando o SPF foi executado por último e quantas vezes foi executado. Igualmente indica quantos LSA novos são adicionados ao base de dados.

asa(config)# show ospf statistics detail


            OSPF Router with ID (198.51.100.10) (Process ID 1)

  Area 0: SPF algorithm executed 12 times

SPF 3 executed 00:32:56 ago, SPF type Full
  SPF calculation time (in msec):
  SPT    Intra  D-Intr Summ   D-Summ Ext7   D-Ext7 Total
        0      0      0      0      0      0      00
  LSIDs processed R:2 N:1 Stub:1 SN:0 SA:0 X7:0
  Change record 0x0
  LSIDs changed 1
  Changed LSAs. Recorded is LS ID and LS type:
  198.51.100.2(R)

SPF 4 executed 00:28:16 ago, SPF type Full
  SPF calculation time (in msec):
  SPT    Intra  D-Intr Summ   D-Summ Ext7   D-Ext7 Total
        0      0      0      0      0      0      00
  LSIDs processed R:1 N:1 Stub:0 SN:0 SA:0 X7:0
  Change record 0x0
  LSIDs changed 2
  Changed LSAs. Recorded is LS ID and LS type:
  198.51.100.2(R) 198.51.100.10(R)

SPF 5 executed 00:28:06 ago, SPF type Full
  SPF calculation time (in msec):
  SPT    Intra  D-Intr Summ   D-Summ Ext7   D-Ext7 Total
        0      0      0      0      0      0      00
  LSIDs processed R:2 N:1 Stub:1 SN:0 SA:0 X7:0
  Change record 0x0
  LSIDs changed 1
  Changed LSAs. Recorded is LS ID and LS type:
  198.51.100.2(R)

SPF 6 executed 00:26:40 ago, SPF type Full
  SPF calculation time (in msec):
  SPT    Intra  D-Intr Summ   D-Summ Ext7   D-Ext7 Total
        0      0      0      0      0      0      00
  LSIDs processed R:1 N:1 Stub:0 SN:0 SA:0 X7:0
  Change record 0x0
  LSIDs changed 2
  Changed LSAs. Recorded is LS ID and LS type:
  198.51.100.2(R) 198.51.100.10(R)

mostre os eventos de OSPF vizinhos

Este é um comando útil verificar o estado do vizinho OSPF, especificamente no caso quando o OSPF está batendo. Fornece uma lista de eventos e de transições de estado para cada vizinho junto com o timestamp daqueles eventos. Neste exemplo, concluiu a transição de 10.10.40.1 do vizinho através dos estados de PARA BAIXO ao FULL

asa(config)# show ospf events neighbor


            OSPF Router with ID (198.51.100.10) (Process ID 1)

 279 May 15 13:07:31.737: Neighbor 198.51.100.2, Interface inside state changes from
LOADING to FULL
 280 May 15 13:07:31.737: Neighbor 198.51.100.2, Interface inside state changes from
EXCHANGE to LOADING
 281 May 15 13:07:31.737: Neighbor 198.51.100.2, Interface inside state changes from
EXSTART to EXCHANGE
 290 May 15 13:07:31.737: Neighbor 198.51.100.2, Interface inside state changes from
2WAY to EXSTART
 296 May 15 13:07:31.738: Neighbor 198.51.100.2, Interface inside state changes from
INIT to 2WAY
 297 May 15 13:07:31.728: Neighbor 198.51.100.2, Interface inside state changes from
DOWN to INIT

mostre o LSA dos eventos de OSPF

Este comando é útil verificar qual todos os LSA foram gerados e recebidos. Estes são úteis em caso do não sincronismo de link e da inundação LSA.

asa(config)# show ospf events lsa


            OSPF Router with ID (198.51.100.10) (Process ID 1)

 253 May 15 13:07:49.167: Rcv Changed Type-1 LSA, LSID 198.51.100.2,
Adv-Rtr 198.51.100.2, Seq# 80000002, Age 1, Area 0
 271 May 15 13:07:32.237: Generate New Type-2 LSA, LSID 198.51.100.1,
Seq# 80000001, Age 0, Area 0
 275 May 15 13:07:32.238: Generate Changed Type-1 LSA, LSID 198.51.100.10,
Seq# 80000002, Age 0, Area 0
 276 May 15 13:07:32.228: Rcv New Type-1 LSA, LSID 198.51.100.2,
Adv-Rtr 198.51.100.2, Seq# 80000001, Age 1, Area 0

mostre a eventos de OSPF o RIB vizinho

Este comando fornece a informação sobre as rotas adicionadas no RIB e no tipo de rota instalados (intra/inter).

asa(config)# show ospf events neighbor rib

 255 May 15 13:07:54.168: RIB Update, dest 172.18.124.0, mask 255.255.255.255,
gw 198.51.100.2, via inside, source 198.51.100.2, type Intra
 287 May 15 13:07:31.738: Neighbor 198.51.100.2, Interface inside state changes from
LOADING to FULL
 288 May 15 13:07:31.738: Neighbor 198.51.100.2, Interface inside state changes from
EXCHANGE to LOADING
 289 May 15 13:07:31.738: Neighbor 198.51.100.2, Interface inside state changes from
EXSTART to EXCHANGE
 298 May 15 13:07:31.738: Neighbor 198.51.100.2, Interface inside state changes from
2WAY to EXSTART
 304 May 15 13:07:31.738: Neighbor 198.51.100.2, Interface inside state changes from
INIT to 2WAY
 305 May 15 13:07:31.728: Neighbor 198.51.100.2, Interface inside state changes from
DOWN to INIT

mostre os eventos de OSPF spf

Enquanto o cálculo SPF é executado, os tempos de execução resultantes e as possibilidades LSA estão entrados a lista dos eventos SPF.

 asa(config)# show ospf events spf 
 235 May 15 13:07:54.167: End of SPF, SPF time 0ms, next wait-interval 10000ms
 240 May 15 13:07:54.167: Starting External processing in area 0
 241 May 15 13:07:54.167: Starting External processing
 244 May 15 13:07:54.167: Starting summary processing, Area 0
 250 May 15 13:07:54.167: Starting Intra-Area SPF, Area 0, spf_type Full
 251 May 15 13:07:54.167: Starting SPF, wait-interval 5000ms
 254 May 15 13:07:49.167: Schedule SPF, Area 0, spf-type Full, Change in LSA
Type RLSID 198.51.100.2, Adv-Rtr 198.51.100.2
 255 May 15 13:07:37.227: End of SPF, SPF time 0ms, next wait-interval 10000ms
 260 May 15 13:07:37.228: Starting External processing in area 0
 261 May 15 13:07:37.228: Starting External processing
 264 May 15 13:07:37.228: Starting summary processing, Area 0
 268 May 15 13:07:37.228: Starting Intra-Area SPF, Area 0, spf_type Full
 269 May 15 13:07:37.228: Starting SPF, wait-interval 5000ms
 272 May 15 13:07:32.238: Schedule SPF, Area 0, spf-type Full, Change in LSA
Type NLSID 198.51.100.1, Adv-Rtr 198.51.100.10
 274 May 15 13:07:32.238: Schedule SPF, Area 0, spf-type Full, Change in LSA
Type RLSID 198.51.100.10, Adv-Rtr 198.51.100.10
 277 May 15 13:07:32.228: Schedule SPF, Area 0, spf-type Full, Change in LSA
Type RLSID 198.51.100.2, Adv-Rtr 198.51.100.2

mostre os eventos de OSPF genéricos

Esta saída contém eventos processo-largos genéricos tais como mudanças da eleição e da adjacência do Designated Router (DR). 

asa(config)# show ospf events generic
 236 May 15 13:07:54.167: Generic:  ospf_external_route_sync0x0
 237 May 15 13:07:54.167: Generic:  ospf_external_route_sync0x0
 238 May 15 13:07:54.167: Generic:  ospf_external_route_sync0x0
 239 May 15 13:07:54.168: Generic:  ospf_external_route_sync0x0
 242 May 15 13:07:54.168: Generic:  ospf_inter_route_sync0x0
 243 May 15 13:07:54.168: Generic:  ospf_inter_route_sync0x0
 245 May 15 13:07:54.168: Generic:  post_spf_intra0x0
 246 May 15 13:07:54.168: Generic:  ospf_intra_route_sync0x0
 248 May 15 13:07:54.168: Generic:  ospf_intra_route_sync0x0
 249 May 15 13:07:54.168: DB add:  172.18.124.00x987668 204
 252 May 15 13:07:51.668: Timer Exp:  if_ack_delayed0xcb97dfe0
 256 May 15 13:07:37.228: Generic:  ospf_external_route_sync0x0
 257 May 15 13:07:37.228: Generic:  ospf_external_route_sync0x0
 258 May 15 13:07:37.228: Generic:  ospf_external_route_sync0x0
 259 May 15 13:07:37.228: Generic:  ospf_external_route_sync0x0
 262 May 15 13:07:37.228: Generic:  ospf_inter_route_sync0x0
 263 May 15 13:07:37.228: Generic:  ospf_inter_route_sync0x0
 265 May 15 13:07:37.228: Generic:  post_spf_intra0x0
 266 May 15 13:07:37.228: Generic:  ospf_intra_route_sync0x0
 267 May 15 13:07:37.228: Generic:  ospf_intra_route_sync0x0
 270 May 15 13:07:34.728: Timer Exp:  if_ack_delayed0xcb97dfe0
 273 May 15 13:07:32.238: DB add:  198.51.100.100x987848 206
 278 May 15 13:07:32.228: DB add:  198.51.100.20x987938 205
 283 May 15 13:07:31.738: Elect DR:  inside198.51.100.10
 284 May 15 13:07:31.738: Elect BDR:  inside198.51.100.2
 285 May 15 13:07:31.736: i/f state nbr chg:  inside0x5
 287 May 15 13:07:31.736: Elect DR:  inside198.51.100.10
 288 May 15 13:07:31.736: Elect BDR:  inside198.51.100.2
 289 May 15 13:07:31.736: i/f state nbr chg:  inside0x5
 291 May 15 13:07:31.736: nbr state adjok:  198.51.100.20x3
 293 May 15 13:07:31.736: Elect DR:  inside198.51.100.10
 294 May 15 13:07:31.736: Elect BDR:  inside198.51.100.2
 295 May 15 13:07:31.736: i/f state nbr chg:  inside0x5

mostre o detalhe do RIB OSPF

Este comando, mencionado previamente, permite que um administrador considere que rotas foram aprendidas dos pares e mesmo se aquelas rotas estiveram instaladas no RIB. As rotas não puderam ser instaladas no RIB devido ao filtragem de rota (alistado previamente).

asa(config)# show ospf rib detail

            OSPF Router with ID (198.51.100.1) (Process ID 1)
OSPF local RIB
Codes: * - Best, > - Installed in global RIB

*>  172.18.124.0/32, Intra, cost 11, area 0
     SPF Instance 13, age 0:13:59
     Flags: RIB, HiPrio
      via 198.51.100.2, inside, flags: RIB
       LSA: 1/198.51.100.2/198.51.100.2
*   10.20.20.0/32, Intra, cost 11, area 0
     SPF Instance 13, age 0:13:59
     Flags: HiPrio
      via 198.51.100.2, inside, flags: none
       LSA: 1/198.51.100.2/198.51.100.2
*>  192.168.10.0/32, Intra, cost 11, area 0
     SPF Instance 13, age 0:13:59
     Flags: RIB, HiPrio
      via 198.51.100.2, inside, flags: RIB
       LSA: 1/198.51.100.2/198.51.100.2
*   198.51.100.0/24, Intra, cost 10, area 0
     SPF Instance 13, age 0:52:52
     Flags: Connected
      via 198.51.100.10, inside, flags: Connected
       LSA: 2/198.51.100.2/192.151.100.10

mostre o neighbor detail OSPF

O comando do neighbor detail OSPF da mostra permite que você detalhe o estado da adjacência de OSPF.

 asa(config)# show ospf neighbor detail

Neighbor 198.51.100.2, interface address 198.51.100.2
In the area 0 via interface ISP
Neighbor priority is 1, State is FULL, 6 state changes
DR is 198.51.100.10 BDR is 198.51.100.2
Options is 0x12 in Hello (E-bit, L-bit)
Options is 0x52 in DBD (E-bit, L-bit, O-bit)
Dead timer due in 0:00:16
Neighbor is up for 00:02:45
Index 1/1, retransmission queue length 0, number of retransmission 0
First 0x0(0)/0x0(0) Next 0x0(0)/0x0(0)
Last retransmission scan length is 0, maximum is 0
Last retransmission scan time is 0 msec, maximum is 0 msec

O OSPF redistribui o BGP

A fim apoiar a redistribução do Border Gateway Protocol (BGP) dentro e fora de outros protocolos de roteamento, o comando bgp da redistribuição foi introduzido à configuração de roteador OSPF. Incorpore este comando a fim redistribuir o instruído roteado através do BGP no processo de OSPF running.

asa(config)# router ospf 1
asa(config-router)# redistribute bgp ?
router mode commands/options:
100  Autonomous system number
ASA-1(config-router)# redistribute bgp 100

Verificar

No momento, não há procedimento de verificação disponível para esta configuração.

Troubleshooting

Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.



Document ID: 118098