Sécurité : Dispositifs de sécurité adaptatifs dédiés de la gamme Cisco ASA 5500

L'ASA publient l'exemple de configuration de 9.2.1 améliorations OSPF

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Introduction

Ce document explique de nouvelles caractéristiques et commandes introduites dans la version de logiciel 9.2.1 de l'appliance de sécurité adaptable (ASA) liée au protocole de Protocole OSPF (Open Shortest Path First).

Contribué par Magnus Mortensen et Dinkar Sharma, ingénieurs TAC Cisco.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Les informations dans ce document sont basées sur le Pare-feu de gamme 5500-X de Cisco ASA qui exécute la version logicielle de Cisco ASA 9.2.(1) et plus tard.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Configurez

Remarque: Utilisez l'Outil de recherche de commande (clients enregistrés seulement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.

Diagramme du réseau

Configurations

Soutien OSPF de Hellos rapide

Les paquets HELLO OSPF sont des paquets qu'un processus OSPF envoie à ses voisins OSPF afin de mettre à jour la Connectivité avec ces voisins. Ceux-ci bonjour des paquets sont envoyés à un intervalle configurable (en quelques secondes). Les par défaut sont de 10 secondes pour un lien d'Ethernets et de 30 secondes pour une liaison de non annonce. Bonjour les paquets incluent une liste de tous les voisins pour lesquels bonjour un paquet a été reçu dans l'intervalle mort. L'intervalle mort est également un intervalle configurable (en quelques secondes) et des par défaut à quatre fois la valeur de l'intervalle entre deux paquets Hello. La valeur de tous les intervalles entre deux paquets Hello doit être identique dans un réseau. De même, la valeur de tous les intervalles morts doit être identique dans un réseau.

Les paquets rapides de bonjour OSPF se rapportent bonjour aux paquets qui sont envoyés à intervalles de moins de 1 seconde. Afin d'activer les paquets rapides de bonjour OSPF, sélectionnez la commande d'intervalle d'inactivité OSPF. Pour des hellos fraction de seconde, l'intervalle mort est placé à 1 seconde ou minimal et la valeur de hello-multiplier est placé au nombre bonjour de paquets que vous voulez introduit celui 1 seconde. Par exemple, si l'intervalle mort est placé pour 1 seconde, et le hello-multiplier est placé pour 4, des hellos sera envoyé toutes les 0.25 seconde.

Quand des paquets rapides de bonjour sont configurés sur l'interface, l'intervalle entre deux paquets Hello a annoncé dans bonjour les paquets qui sont envoyés cette interface sont placés à 0. L'intervalle entre deux paquets Hello dans bonjour les paquets reçus au-dessus de cette interface est ignoré. Il est important de noter que le l'intervalle mort doit être cohérent sur un segment. S'il est placé à 1 seconde (pour les paquets rapides de bonjour) ou au positionnement à n'importe quelle autre valeur, il doit être cohérent à travers des voisins dans ce segment. Bonjour le multiplicateur n'a pas besoin d'être identique pour le segment entier tant que au moins un bonjour paquet est envoyé dans l'intervalle mort.

Afin d'activer des hellos rapides avec un multiple de 4, sélectionnez la commande minimale du hello-multiplier 4 d'intervalle d'inactivité OSPF sous la configuration d'interface appropriée.

 interface GigabitEthernet0/0
nameif inside
security-level 100
ip address 198.51.100.1 255.255.255.0
ospf dead-interval minimal hello-multiplier 4

router ospf 1
network 198.51.100.0 255.255.255.0 area 0

Vérifiez avec la commande de show ospf interface.

asa(config)# show ospf interface

inside is up, line protocol is up
Internet Address 198.51.100.1 mask 255.255.255.0, Area 0
Process ID 928, Router ID 198.51.100.1, Network Type BROADCAST, Cost: 10
Transmit Delay is 1 sec, State DR, Priority 1
Designated Router (ID) 198.51.100.1, Interface address 198.51.100.1
No backup designated router on this network
Timer intervals configured, Hello 250 msec, Dead 1, Wait 1, Retransmit 5
Hello due in 48 msec
Index 1/1, flood queue length 0
Next 0x0(0)/0x0(0)
Last flood scan length is 0, maximum is 0
Last flood scan time is 0 msec, maximum is 0 msec
Neighbor Count is 0, Adjacent neighbor count is 0
Suppress hello for 0 neighbor(s)

Nouvelles commandes de minuteur OSPF pour la publicité d'État de lien et l'étranglement SPF

Ces commandes ont été introduites dans la version 9.2.1 et ultérieures ASA : timers lsa arrival, temporisateurs arpentant, timers throttle lsa et timers throttle spf en tant qu'élément de la configuration de routeur OSPF.

asa(config-router)# timers ?

router mode commands/options:
lsa OSPF LSA timers
pacing OSPF pacing timers
throttle OSPF throttle timers

Ces commandes ont été retirées : timers spf et LSA-groupement-arpenter de temporisateurs.

Plus d'informations sur les avantages de la publicité d'État de lien (LSA) et du Shortest Path First (SPF) étranglant peuvent être trouvées dans ces documents :

Artère OSPF filtrant avec un ACL

L'artère filtrant avec une liste de contrôle d'accès (ACL) est maintenant prise en charge. Ceci est réalisé avec la commande de distribute-list de filtrer des artères.

Par exemple, afin de filtrer des artères pour 10.20.20.0/24, la configuration ressemblerait à ceci :

access-list ospf standard deny host 10.20.20.0
access-list ospf standard permit any4
!
router ospf 1
 network 198.51.100.0 255.255.255.0 area 0
 log-adj-changes
 distribute-list ospf in interface inside

Quand l'ACL associé est vérifié, il indique qu'il a incrémenter des nombres de hits :

asa(config)# show access-list ospf
access-list ospf; 2 elements; name hash: 0xb5dd06eb
access-list ospf line 1 standard deny host 10.20.20.0 (hitcnt=1) 0xe29503b8
access-list ospf line 2 standard permit any4 (hitcnt=2) 0x51ff4e67

En outre, on peut vérifier le Routing Information Base (NERVURE) sur l'ASA afin de vérifier plus loin la fonctionnalité. Sélectionnez la commande de détail de nervure de show ospf afin de faire rapport la pleine base de données des informations de routage pour le processus de routeur OSPF. « Diminue » associé avec chaque artère indiquent si elle a été installée dans la NERVURE.

asa(config)# show ospf rib detail

            OSPF Router with ID (198.51.100.10) (Process ID 1)
OSPF local RIB
Codes: * - Best, > - Installed in global RIB

*>  172.18.124.0/32, Intra, cost 11, area 0
     SPF Instance 13, age 0:13:59
     Flags: RIB, HiPrio
      via 198.51.100.2, inside, flags: RIB
       LSA: 1/198.51.100.2/198.51.100.2
*   10.20.20.0/32, Intra, cost 11, area 0
     SPF Instance 13, age 0:13:59
     Flags: HiPrio
      via 198.51.100.2, inside, flags: none
       LSA: 1/198.51.100.2/198.51.100.2
*>  192.168.10.0/32, Intra, cost 11, area 0
     SPF Instance 13, age 0:13:59
     Flags: RIB, HiPrio
      via 198.51.100.2, inside, flags: RIB
       LSA: 1/198.51.100.2/198.51.100.2
*   198.51.100.0/24, Intra, cost 10, area 0
     SPF Instance 13, age 0:52:52
     Flags: Connected
      via 198.51.100.10, inside, flags: Connected
       LSA: 2/198.51.100.2/192.151.100.10

Dans la sortie ci-dessus, les Routeurs répertoriés avec des indicateurs « NERVURE » ont été installés, alors que l'artère avec des indicateurs « aucun » n'a pas été installée. Ceci devrait être aussi bien reflété dans la table globale de routage. Contrôle avec la commande de show route

asa(config)# show route

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, + - replicated route

Gateway of last resort is 10.106.44.1 to network 0.0.0.0

S*    0.0.0.0 0.0.0.0 [1/0] via 10.106.44.1, tftp
O        172.18.124.0 255.255.255.0 [110/11] via 198.51.100.2, 00:00:03, inside
O        192.168.10.0 255.255.255.0 [110/11] via 198.51.100.2, 00:00:03, inside
O        10.20.20.0 255.255.255.0 [110/11] via 198.51.100.2, 00:00:03, inside
S        10.76.76.160 255.255.255.255 [1/0] via 10.106.44.1, tftp
C        10.86.195.0 255.255.255.0 is directly connected, management
L        10.86.195.1 255.255.255.255 is directly connected, management

Améliorations de surveillance OSPF

Ces commandes ont été introduites afin d'aider à surveiller et observer le processus de routeur OSPF. Des sorties témoin de ces commandes sont données pour la référence.

brief de show ospf interface

Sélectionnez la commande brief de show ospf interface afin d'obtenir un cliché des contiguïtés actuelles sur cette ASA.

asa(config)# show ospf interface brief

Interface PID Area IP Address/Mask Cost State Nbrs F/C
inside 1 0 198.51.100.2/255.255.255.0 10 DR 1/1

statistiques de show ospf [détail]

La commande de détail de statistiques de show ospf fournit une brève description au sujet de quand la SPF a été exécutée pour la dernière fois et combien de fois elle a été exécutées. Il indique également combien nouveau LSAs sont ajoutés à la base de données.

asa(config)# show ospf statistics detail


            OSPF Router with ID (198.51.100.10) (Process ID 1)

  Area 0: SPF algorithm executed 12 times

SPF 3 executed 00:32:56 ago, SPF type Full
  SPF calculation time (in msec):
  SPT    Intra  D-Intr Summ   D-Summ Ext7   D-Ext7 Total
        0      0      0      0      0      0      00
  LSIDs processed R:2 N:1 Stub:1 SN:0 SA:0 X7:0
  Change record 0x0
  LSIDs changed 1
  Changed LSAs. Recorded is LS ID and LS type:
  198.51.100.2(R)

SPF 4 executed 00:28:16 ago, SPF type Full
  SPF calculation time (in msec):
  SPT    Intra  D-Intr Summ   D-Summ Ext7   D-Ext7 Total
        0      0      0      0      0      0      00
  LSIDs processed R:1 N:1 Stub:0 SN:0 SA:0 X7:0
  Change record 0x0
  LSIDs changed 2
  Changed LSAs. Recorded is LS ID and LS type:
  198.51.100.2(R) 198.51.100.10(R)

SPF 5 executed 00:28:06 ago, SPF type Full
  SPF calculation time (in msec):
  SPT    Intra  D-Intr Summ   D-Summ Ext7   D-Ext7 Total
        0      0      0      0      0      0      00
  LSIDs processed R:2 N:1 Stub:1 SN:0 SA:0 X7:0
  Change record 0x0
  LSIDs changed 1
  Changed LSAs. Recorded is LS ID and LS type:
  198.51.100.2(R)

SPF 6 executed 00:26:40 ago, SPF type Full
  SPF calculation time (in msec):
  SPT    Intra  D-Intr Summ   D-Summ Ext7   D-Ext7 Total
        0      0      0      0      0      0      00
  LSIDs processed R:1 N:1 Stub:0 SN:0 SA:0 X7:0
  Change record 0x0
  LSIDs changed 2
  Changed LSAs. Recorded is LS ID and LS type:
  198.51.100.2(R) 198.51.100.10(R)

événements de show ospf voisins

C'est une commande utile de vérifier l'état des voisins OSPF, spécifiquement dans le cas quand l'OSPF s'agite. Il fournit une liste d'événements et de transitions d'état pour chaque voisin avec l'horodateur de ces événements. Dans cet exemple, le voisin 10.10.40.1 transitioned par les états de VERS LE BAS à COMPLÈTEMENT

asa(config)# show ospf events neighbor


            OSPF Router with ID (198.51.100.10) (Process ID 1)

 279 May 15 13:07:31.737: Neighbor 198.51.100.2, Interface inside state changes from
LOADING to FULL
 280 May 15 13:07:31.737: Neighbor 198.51.100.2, Interface inside state changes from
EXCHANGE to LOADING
 281 May 15 13:07:31.737: Neighbor 198.51.100.2, Interface inside state changes from
EXSTART to EXCHANGE
 290 May 15 13:07:31.737: Neighbor 198.51.100.2, Interface inside state changes from
2WAY to EXSTART
 296 May 15 13:07:31.738: Neighbor 198.51.100.2, Interface inside state changes from
INIT to 2WAY
 297 May 15 13:07:31.728: Neighbor 198.51.100.2, Interface inside state changes from
DOWN to INIT

LSA d'événements de show ospf

Il est utile vérifier cette commande que tout le LSAs ont été générée et reçue. Ce sont utiles en cas de lien instable de lien et d'inondation LSA.

asa(config)# show ospf events lsa


            OSPF Router with ID (198.51.100.10) (Process ID 1)

 253 May 15 13:07:49.167: Rcv Changed Type-1 LSA, LSID 198.51.100.2,
Adv-Rtr 198.51.100.2, Seq# 80000002, Age 1, Area 0
 271 May 15 13:07:32.237: Generate New Type-2 LSA, LSID 198.51.100.1,
Seq# 80000001, Age 0, Area 0
 275 May 15 13:07:32.238: Generate Changed Type-1 LSA, LSID 198.51.100.10,
Seq# 80000002, Age 0, Area 0
 276 May 15 13:07:32.228: Rcv New Type-1 LSA, LSID 198.51.100.2,
Adv-Rtr 198.51.100.2, Seq# 80000001, Age 1, Area 0

nervure de voisin d'événements de show ospf

Cette commande fournit des informations au sujet des artères ajoutées dans la NERVURE et le type d'artère installés (intra/inter).

asa(config)# show ospf events neighbor rib

 255 May 15 13:07:54.168: RIB Update, dest 172.18.124.0, mask 255.255.255.255,
gw 198.51.100.2, via inside, source 198.51.100.2, type Intra
 287 May 15 13:07:31.738: Neighbor 198.51.100.2, Interface inside state changes from
LOADING to FULL
 288 May 15 13:07:31.738: Neighbor 198.51.100.2, Interface inside state changes from
EXCHANGE to LOADING
 289 May 15 13:07:31.738: Neighbor 198.51.100.2, Interface inside state changes from
EXSTART to EXCHANGE
 298 May 15 13:07:31.738: Neighbor 198.51.100.2, Interface inside state changes from
2WAY to EXSTART
 304 May 15 13:07:31.738: Neighbor 198.51.100.2, Interface inside state changes from
INIT to 2WAY
 305 May 15 13:07:31.728: Neighbor 198.51.100.2, Interface inside state changes from
DOWN to INIT

SPF d'événements de show ospf

Pendant que le calcul SPF est exécuté, les délais d'exécution en résultant et des occasions LSA sont ouverts une session la liste d'événements SPF.

 asa(config)# show ospf events spf 
 235 May 15 13:07:54.167: End of SPF, SPF time 0ms, next wait-interval 10000ms
 240 May 15 13:07:54.167: Starting External processing in area 0
 241 May 15 13:07:54.167: Starting External processing
 244 May 15 13:07:54.167: Starting summary processing, Area 0
 250 May 15 13:07:54.167: Starting Intra-Area SPF, Area 0, spf_type Full
 251 May 15 13:07:54.167: Starting SPF, wait-interval 5000ms
 254 May 15 13:07:49.167: Schedule SPF, Area 0, spf-type Full, Change in LSA
Type RLSID 198.51.100.2, Adv-Rtr 198.51.100.2
 255 May 15 13:07:37.227: End of SPF, SPF time 0ms, next wait-interval 10000ms
 260 May 15 13:07:37.228: Starting External processing in area 0
 261 May 15 13:07:37.228: Starting External processing
 264 May 15 13:07:37.228: Starting summary processing, Area 0
 268 May 15 13:07:37.228: Starting Intra-Area SPF, Area 0, spf_type Full
 269 May 15 13:07:37.228: Starting SPF, wait-interval 5000ms
 272 May 15 13:07:32.238: Schedule SPF, Area 0, spf-type Full, Change in LSA
Type NLSID 198.51.100.1, Adv-Rtr 198.51.100.10
 274 May 15 13:07:32.238: Schedule SPF, Area 0, spf-type Full, Change in LSA
Type RLSID 198.51.100.10, Adv-Rtr 198.51.100.10
 277 May 15 13:07:32.228: Schedule SPF, Area 0, spf-type Full, Change in LSA
Type RLSID 198.51.100.2, Adv-Rtr 198.51.100.2

événements de show ospf génériques

Cette sortie contient des événements de la taille du processus génériques tels que l'élection indiquée du routeur (DR) et la contiguïté change. 

asa(config)# show ospf events generic
 236 May 15 13:07:54.167: Generic:  ospf_external_route_sync0x0
 237 May 15 13:07:54.167: Generic:  ospf_external_route_sync0x0
 238 May 15 13:07:54.167: Generic:  ospf_external_route_sync0x0
 239 May 15 13:07:54.168: Generic:  ospf_external_route_sync0x0
 242 May 15 13:07:54.168: Generic:  ospf_inter_route_sync0x0
 243 May 15 13:07:54.168: Generic:  ospf_inter_route_sync0x0
 245 May 15 13:07:54.168: Generic:  post_spf_intra0x0
 246 May 15 13:07:54.168: Generic:  ospf_intra_route_sync0x0
 248 May 15 13:07:54.168: Generic:  ospf_intra_route_sync0x0
 249 May 15 13:07:54.168: DB add:  172.18.124.00x987668 204
 252 May 15 13:07:51.668: Timer Exp:  if_ack_delayed0xcb97dfe0
 256 May 15 13:07:37.228: Generic:  ospf_external_route_sync0x0
 257 May 15 13:07:37.228: Generic:  ospf_external_route_sync0x0
 258 May 15 13:07:37.228: Generic:  ospf_external_route_sync0x0
 259 May 15 13:07:37.228: Generic:  ospf_external_route_sync0x0
 262 May 15 13:07:37.228: Generic:  ospf_inter_route_sync0x0
 263 May 15 13:07:37.228: Generic:  ospf_inter_route_sync0x0
 265 May 15 13:07:37.228: Generic:  post_spf_intra0x0
 266 May 15 13:07:37.228: Generic:  ospf_intra_route_sync0x0
 267 May 15 13:07:37.228: Generic:  ospf_intra_route_sync0x0
 270 May 15 13:07:34.728: Timer Exp:  if_ack_delayed0xcb97dfe0
 273 May 15 13:07:32.238: DB add:  198.51.100.100x987848 206
 278 May 15 13:07:32.228: DB add:  198.51.100.20x987938 205
 283 May 15 13:07:31.738: Elect DR:  inside198.51.100.10
 284 May 15 13:07:31.738: Elect BDR:  inside198.51.100.2
 285 May 15 13:07:31.736: i/f state nbr chg:  inside0x5
 287 May 15 13:07:31.736: Elect DR:  inside198.51.100.10
 288 May 15 13:07:31.736: Elect BDR:  inside198.51.100.2
 289 May 15 13:07:31.736: i/f state nbr chg:  inside0x5
 291 May 15 13:07:31.736: nbr state adjok:  198.51.100.20x3
 293 May 15 13:07:31.736: Elect DR:  inside198.51.100.10
 294 May 15 13:07:31.736: Elect BDR:  inside198.51.100.2
 295 May 15 13:07:31.736: i/f state nbr chg:  inside0x5

détail de nervure de show ospf

Cette commande, mentionnée précédemment, permet à un administrateur pour voir quelles artères ont été apprises des pairs et si ces artères ont été installées dans la NERVURE. Des artères ne pourraient pas être installées dans la NERVURE devant conduire le filtrage (répertorié précédemment).

asa(config)# show ospf rib detail

            OSPF Router with ID (198.51.100.1) (Process ID 1)
OSPF local RIB
Codes: * - Best, > - Installed in global RIB

*>  172.18.124.0/32, Intra, cost 11, area 0
     SPF Instance 13, age 0:13:59
     Flags: RIB, HiPrio
      via 198.51.100.2, inside, flags: RIB
       LSA: 1/198.51.100.2/198.51.100.2
*   10.20.20.0/32, Intra, cost 11, area 0
     SPF Instance 13, age 0:13:59
     Flags: HiPrio
      via 198.51.100.2, inside, flags: none
       LSA: 1/198.51.100.2/198.51.100.2
*>  192.168.10.0/32, Intra, cost 11, area 0
     SPF Instance 13, age 0:13:59
     Flags: RIB, HiPrio
      via 198.51.100.2, inside, flags: RIB
       LSA: 1/198.51.100.2/198.51.100.2
*   198.51.100.0/24, Intra, cost 10, area 0
     SPF Instance 13, age 0:52:52
     Flags: Connected
      via 198.51.100.10, inside, flags: Connected
       LSA: 2/198.51.100.2/192.151.100.10

détail de show ospf neighbor

La commande de détail de show ospf neighbor te permet pour détailler le statut de la contiguïté OSPF.

 asa(config)# show ospf neighbor detail

Neighbor 198.51.100.2, interface address 198.51.100.2
In the area 0 via interface ISP
Neighbor priority is 1, State is FULL, 6 state changes
DR is 198.51.100.10 BDR is 198.51.100.2
Options is 0x12 in Hello (E-bit, L-bit)
Options is 0x52 in DBD (E-bit, L-bit, O-bit)
Dead timer due in 0:00:16
Neighbor is up for 00:02:45
Index 1/1, retransmission queue length 0, number of retransmission 0
First 0x0(0)/0x0(0) Next 0x0(0)/0x0(0)
Last retransmission scan length is 0, maximum is 0
Last retransmission scan time is 0 msec, maximum is 0 msec

L'OSPF redistribuent le BGP

Afin de prendre en charge la redistribution de Protocole BGP (Border Gateway Protocol) dans et hors d'autres protocoles de routage, la commande BGP de redistribuer a été introduite à la configuration de routeur OSPF. Sélectionnez cette commande afin de redistribuer conduit instruit par l'intermédiaire du BGP dans le processus OSPF d'exécution.

asa(config)# router ospf 1
asa(config-router)# redistribute bgp ?
router mode commands/options:
100  Autonomous system number
ASA-1(config-router)# redistribute bgp 100

Vérifiez

Aucune procédure de vérification n'est disponible pour cette configuration.

Dépannez

Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.


Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Document ID: 118098