Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

ASA 9.x Примеры конфигураций EIGRP

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (28 июля 2008) | Английский (22 августа 2015) | Отзыв

Введение

Этот документ описывает, как настроить устройство адаптивной защиты Cisco (ASA) для обучения маршрутов через Протокол EIGRP, который поддерживается в Версии программного обеспечения 9.x ASA и позже, и выполните аутентификацию.

Внесенный Динкэром Шармой, Магнусом Мортенсеном, и Прэшэнтом Джоши, специалистами службы технической поддержки Cisco.

Предварительные условия

Требования

Cisco требует, чтобы вы удовлетворили этим условиям перед попыткой этой конфигурации:

  • Cisco ASA должен выполнить Версию 9.x или позже.
  • EIGRP должен быть в режиме одиночного контекста, потому что это не поддерживается в режиме мультиконтекста.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Версия программного обеспечения 9.2.1 Cisco ASA
  • Cisco Adaptive Security Device Manager (ASDM) версия 7.2.1
  • Маршрутизатор Cisco IOS®, который выполняет Версию 12.4

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Общие сведения

Рекомендации и ограничения

  • Один экземпляр EIGRP поддерживается в одном режиме и на контекст в многорежимном.
  • Два потока созданы на контекст на экземпляр EIGRP в многорежимном и могут быть просмотрены с процессом показа.
  • Автосуммирование отключено по умолчанию.
  •  Отношения соседей не установлены между кластерными модулями в режиме отдельного интерфейса.
  • Default-information в [<acl>] используется для фильтрования Внешнего бита во входящих candidate default route.
  • Default-information [<acl>] используется для фильтрования Внешнего бита в исходящих candidate default route.

EIGRP и аварийное переключение

Версия кода 8.4.4.1 Cisco ASA и позже синхронизирует динамические маршруты от АКТИВНОГО МОДУЛЯ до РЕЗЕРВНОГО МОДУЛЯ. Кроме того, удаление маршрутов также синхронизируется с РЕЗЕРВНЫМ МОДУЛЕМ. Однако состояние одноранговых смежностей "not synchronized"; только Активное устройство поддерживает режим работы с соседними узлами и активно участвует в динамической маршрутизации. Обратитесь к часто задаваемым вопросам ASA: Если динамические маршруты синхронизируются, что происходит после аварийного переключения? дополнительные сведения.

Настройка

В этом разделе описывается настроить функции, крытые в этот документ.

Примечание: Чтобы получить подробные сведения о командах в данном документе, используйте Средство поиска команд (только для зарегистрированных клиентов).

Схема сети

В этом документе использованы параметры данной сети:

В топологии сети, которая проиллюстрирована, IP-адрес внутреннего интерфейса Cisco ASA является 10.10.10.1/24. Цель состоит в том, чтобы настроить EIGRP на Cisco ASA для обучения маршрутов внутренним сетям (10.20.20.0/24, 172.18.124.0/24, и 192.168.10.0/24) динамично через соседний маршрутизатор (R1). R1 изучает маршруты удаленным внутренним сетям через другие два маршрутизатора (R2 и R3).

Настройка посредством ASDM

ASDM на основе браузера приложение, используемое, чтобы настроить и контролировать программное обеспечение на устройствах безопасности. ASDM загружается из устройства безопасности, и затем используется, чтобы настроить, контролировать, и управлять устройством. Можно также использовать Модуль запуска ASDM для запуска приложения ASDM быстрее, чем приложение Java. В этом разделе описываются необходимую информацию для настройки функций, описанных в этом документе с ASDM.

Выполните эти шаги для настройки EIGRP в Cisco ASA.

  1. Войдите к Cisco ASA с ASDM.

  2. Перейдите к области Configuration> Device Setup> Routing> EIGRP интерфейса ASDM, как показано в этом снимке экрана.



  3. Включите процесс маршрутизации EIGRP на  вкладке Setup> Process Instances, как показано в этом снимке экрана. В данном примере процесс EIGRP – 10.



  4. Можно настроить дополнительные усовершенствованные параметры процесса маршрутизации EIGRP. На вкладке Setup > Process Instances щелкните Advanced . Можно настроить процесс маршрутизации EIGRP как процесс маршрутизации с использованием заглушек, отключить автоматическое объединение маршрутов, определить метрики по умолчанию для перераспределенных маршрутов, изменить административные расстояния для внутреннего и внешних маршрутов EIGRP, настроить статический идентификатор маршрутизатора, и включить или отключить регистрацию изменений смежности. В данном примере ID Маршрутизатора EIGRP статически настроен с IP-адресом внутреннего интерфейса (10.10.10.1). Кроме того, Auto-Summary также отключена. Все другие опции настроены с их значениями по умолчанию.



  5. После выполнения предыдущих шагов определите сети и интерфейсы, которые участвуют в маршрутизации EIGRP на вкладке Setup > Networks. Нажмите Add, как показано на снимке экрана.



  6. Этот экран появляется. В данном примере единственная сеть, которую вы добавляете, является внутренней сетью (10.10.10.0/24), так как EIGRP включен только на внутреннем интерфейсе.



    Только интерфейсы с IP-адресом, который находится в пределах определенных сетей, участвуют в процессе маршрутизации EIGRP. При наличии интерфейса, участие которого не требуется в маршрутизации EIGRP, но он подключен к сети, которую необходимо объявить, настройте сетевую запись на вкладке Setup > Networks. На вкладке рассматривается сеть, к которой подключен интерфейс в качестве пассивного интерфейса. Таким образом, интерфейс не может отправлять или получать обновления EIGRP.



    Примечание: Интерфейсы, настроенные как пассивные, не передают или получают Обновления EIGRP.



  7. Можно дополнительно определить фильтры маршрута на области Filter Rules. Фильтрация маршрута предоставляет больший контроль над маршрутами, которым позволяют быть переданными или полученными в Обновлениях EIGRP.

  8. Можно дополнительно настроить перераспределение маршрутов. Cisco ASA может перераспределить маршруты, обнаруженные Протоколом RIP и Протоколом OSPF в процесс маршрутизации EIGRP. Можно также перераспределить статичный и связанные маршруты в процесс маршрутизации EIGRP. Перераспределять статические и подключенные маршруты не требуется, если они находятся в пределах диапазона сети, настроенной на вкладке Setup > Networks. Определите перераспределение маршрутов на области Redistribution.

  9. Пакеты приветствия EIGRP передаются как пакеты групповой адресации. Если Соседний eigrp расположен по нешироковещательная сети, необходимо вручную определить тот соседний узел. При ручном определении Соседнего eigrp Пакеты приветствия передаются тому соседнему узлу как одноадресные сообщения. Чтобы определить статических соседей EIGR, перейдите на панель Static Neighbor.

  10. По умолчанию маршруты по умолчанию переданы и приняты. Чтобы ограничить или отключить отправку и получение сведений о маршруте по умолчанию, откройте панель Configuration > Device Setup > Routing > EIGRP > Default Information. Область Default Information отображает таблицу правил управлять передачей и получением сведений о маршрутизаторе по умолчанию в Обновлениях EIGRP.

    Примечание: Вы можете иметь один "в" и один правило для каждого процесса маршрутизации EIGRP. (Только один процесс в настоящее время поддерживается.)

Настройте аутентификацию EIGRP

Cisco ASA поддерживает Аутентификацию MD5 обновлений маршрута от Протокола маршрутизации EIGRP. Включенный MD5 дайджест в каждом пакете EIGRP предотвращает введение неавторизованных или ложных сообщений маршрутизации из неутвержденных источников. Добавление аутентификации к сообщениям EIGRP гарантирует, что маршрутизаторы и Cisco ASA только принимают сообщения маршрутизации от других устройств маршрутизации, которые настроены с тем же предварительным общим ключом. Без этой настроенной аутентификации, если кто-то начинает другое устройство маршрутизации с других или противоположных сведений о маршруте в сети, таблицы маршрутизации на маршрутизаторах или Cisco ASA могут стать поврежденными, и атака типа отказ в обслуживании может последовать. Когда вы добавляете аутентификацию к сообщениям EIGRP, передаваемым между устройствами маршрутизации (который включает ASA), это предотвращает неавторизованные добавления маршрутизаторов EIGRP в топологию маршрутизации.

Аутентификация маршрута EIGRP настроена на поинтерфейсной основе. Все Соседние eigrp на интерфейсах, настроенных для Аутентификации сообщений по протоколу EIGRP, должны быть настроены с тем же режимом аутентификации и ключом для смежностей, которые будут установлены.

Выполните эти шаги для включения Аутентификации MD5 EIGRP на Cisco ASA.

  1. На ASDM перейдите к Конфигурации> Настройка устройства> Направляющий> EIGRP> Интерфейс как показано.



  2. В этом случае EIGRP включен на внутреннем интерфейсе (GigabitEthernet 0/1). Выберите интерфейс GigabitEthernet 0/1 и нажмите Edit.

  3. В области аутентификации выберите Enable MD5 authentication. Добавьте дополнительные сведения о параметрах аутентификации здесь. В этом случае предварительный ключ – cisco123, а идентификатор ключа – 1.

Фильтрация МАРШРУТА EIGRP

С EIGRP можно управлять обновлениями маршрута, которые переданы и получены. В данном примере вы заблокируете обновления маршрута на ASA для префикса сети 192.168.10.0/24, который находится позади R1. Для фильтрации маршрута можно только использовать СТАНДАРТНЫЙ ACL.

access-list eigrp standard deny 192.168.10.0 255.255.255.0 
access-list eigrp standard permit any

router eigrp 10
distribute-list eigrp in

Проверка.

ASA(config)# show access-list eigrp
access-list eigrp; 2 elements; name hash: 0xd43d3adc
access-list eigrp line 1 standard deny 192.168.10.0 255.255.255.0 (hitcnt=3) 0xeb48ecd0
access-list eigrp line 2 standard permit any4 (hitcnt=12) 0x883fe5ac

Конфигурации

Конфигурация интерфейса командой строки Cisco ASA

Это - конфигурация интерфейса командой строки Cisco ASA.

!outside interface configuration

interface GigabitEthernet0/0
description outside interface connected to the Internet
nameif outside
security-level 0
ip address 198.51.100.120 255.255.255.0
!

!inside interface configuration

interface GigabitEthernet0/1
description interface connected to the internal network
nameif inside
security-level 100
ip address 10.10.10.1 255.255.255.0
!

!EIGRP authentication is configured on the inside interface

authentication key eigrp 10 cisco123 key-id 1
authentication mode eigrp 10 md5
!

!management interface configuration

interface Management0/0
nameif management
security-level 99
ip address 10.10.20.1 255.255.255.0 management-only
!
!

!EIGRP Configuration - the CLI configuration is very similar to the
!Cisco IOS router EIGRP configuration.

router eigrp 10
no auto-summary
eigrp router-id 10.10.10.1
network 10.10.10.0 255.255.255.0
!

!This is the static default gateway configuration

route outside 0.0.0.0 0.0.0.0 198.51.100.1 1

Маршрутизатор Cisco IOS (R1) конфигурация интерфейса командой строки

Это - конфигурация интерфейса командой строки R1 (встроенный маршрутизатор).

!!Interface that connects to the Cisco ASA. Notice the EIGRP authentication
paramenters.


interface FastEthernet0/0
ip address 10.10.10.2 255.255.255.0
ip authentication mode eigrp 10 md5
ip authentication key-chain eigrp 10 MYCHAIN
!
!

! EIGRP Configuration

router eigrp 10
network 10.10.10.0 0.0.0.255
network 10.20.20.0 0.0.0.255
network 172.18.124.0 0.0.0.255
network 192.168.10.0
no auto-summary

Проверка.

Выполните эти шаги для подтверждения конфигурации.

  1. На ASDM можно перейти к Мониторингу> Направляющий> Соседний eigrp для наблюдения каждого из Соседних eigrp. Этот снимок экрана показывает внутренний маршрутизатор (R1) как активный соседний узел. Можно также видеть интерфейс, где этот соседний узел находится, время удержания, и какой длины отношения соседей были (Время работы без сбоев).



  2. Кроме того, можно проверить таблицу маршрутизации, если перейти к Monitoring > Routing > Routes. На данном снимке экрана можно увидеть, что сети 192.168.10.0/24, 172.18.124.0/24 и 10.20.20.0/24 получены через R1 (10.10.10.2).



    От CLI можно использовать команду show route для получения тех же выходных данных.

    ciscoasa# show route

    Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP

    D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

    N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
    E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
    i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
    * - candidate default, U - per-user static route, o - ODR
    P - periodic downloaded static route
    Gateway of last resort is 100.10.10.2 to network 0.0.0.0
    C 198.51.100.0 255.255.255.0 is directly connected, outside
    D 192.168.10.0 255.255.255.0 [90/131072] via 10.10.10.2, 0:32:29, inside
    D 172.18.124.0 255.255.255.0 [90/131072] via 10.10.10.2, 0:32:29, inside
    C 127.0.0.0 255.255.0.0 is directly connected, cplane
    D 10.20.20.0 255.255.255.0 [90/28672] via 10.10.10.2, 0:32:29, inside
    C 10.10.10.0 255.255.255.0 is directly connected, inside
    C 10.10.20.0 255.255.255.0 is directly connected, management
    S* 0.0.0.0 0.0.0.0 [1/0] via 198.51.100.1, outside


    С Версией ASA 9.2.1 и позже, можно использовать команду EIGRP show route для показа только маршрутов EIGRP.

    ciscoasa(config)# show route eigrp

    Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
    D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
    N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
    E1 - OSPF external type 1, E2 - OSPF external type 2
    i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
    ia - IS-IS inter area, * - candidate default, U - per-user static route
    o - ODR, P - periodic downloaded static route, + - replicated route

    Gateway of last resort is not set

    D 192.168.10.0 255.255.255.0 [90/131072] via 10.10.10.2, 0:32:29, inside
    D 172.18.124.0 255.255.255.0 [90/131072] via 10.10.10.2, 0:32:29, inside
    D 10.20.20.0 255.255.255.0 [90/28672] via 10.10.10.2, 0:32:29, inside


  3. Можно также использовать команду show eigrp topology для получения информации об изученных сетях и Топологии EIGRP.

        ciscoasa# show eigrp topology
    EIGRP-IPv4 Topology Table for AS(10)/ID(10.10.10.1)
    Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply,
    r - reply Status, s - sia Status
    P 10.20.20.0 255.255.255.0, 1 successors, FD is 28672
    via 10.10.10.2 (28672/28416), GigabitEthernet0/1
    P 10.10.10.0 255.255.255.0, 1 successors, FD is 2816
    via Connected, GigabitEthernet0/1
    P 192.168.10.0 255.255.255.0, 1 successors, FD is 131072
    via 10.10.10.2 (131072/130816), GigabitEthernet0/1
    P 172.18.124.0 255.255.255.0, 1 successors, FD is 131072
    via 10.10.10.2 (131072/130816), GigabitEthernet0/1


  4. Команда show eigrp neighbors также полезна для подтверждения активных соседних узлов и соответствующей информации. Данный пример показывает ту же информацию, которую вы получили из ASDM в Шаге 1.

    ciscoasa# show eigrp neighbors
    EIGRP-IPv4 neighbors for process 10
    H Address Interface Hold Uptime SRTT RTO Q Seq (sec) (ms)Cnt Num

    0 10.10.10.2 Gi0/1 12 00:39:12 107 642 0 1

Движение пакетов

Вот поток пакетов.

  1. ASA подходит на ссылке и передает Пакет приветствия mCast через все его настраиваемые интерфейсы EIGRP.

  2. R1 получает Пакет приветствия и передает Пакет приветствия mCast.



  3. ASA получает Пакет приветствия и передает Обновленный пакет с начальным установленным битом, который указывает, что это - процесс инициализации.

  4. R1 получает Обновленный пакет и передает Обновленный пакет с начальным установленным битом, который указывает, что это - процесс инициализации.



  5. И после ASA и после R1 обменивались hellos, и соседство установлено, и ASA и ответ R1 с пакетом ACK, который указывает, что были получены данные обновления.

  6. ASA передает свои сведения о маршрутизации к R1 в Обновленном пакете.

  7. R1 вставляет информацию об Обновленном пакете в свою таблицу топологии. Таблица топологии включает все назначения, объявленные соседними узлами. Это организовано так, чтобы каждое назначение было перечислено, вместе со всеми соседними узлами, которые могут переместиться в назначение и их cвязанные метрики.

  8. R1 тогда передает Обновленный пакет к ASA.



  9. Как только это получает Обновленный пакет, ASA передает пакет ACK к R1. После того, как ASA и R1 успешно получают Обновленные пакеты друг от друга, они готовы, выбрал преемника (лучше всего) и возможного преемника (резервные) маршруты в таблице топологии, и предложите маршруты преемника таблице маршрутизации.

Устранение неполадок

Этот раздел включает информацию о командах debug и show, которые могут быть полезными для устренения проблем EIGRP.

Команды для устранения неполадок

Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Используйте OIT для просмотра анализа выходных данных команды show.

Примечание: Прежде чем выполнять какие-либо команды отладки , ознакомьтесь с документом "Важные сведения о командах отладки". Для отображения данные отладки Алгоритма обновления Diffusing-Update Algorithm (DUAL) (DUAL) блок конечных состояний используйте команду debug eigrp fsm в привилегированном режиме EXEC. Эта команда позволяет вам наблюдать действие возможного преемника EIGRP и определять, установлены ли маршрутные обновления и удалены процессом маршрутизации.

Это - выходные данные команды отладки в успешном пиринге с R1. Вы видите каждый из других маршрутов, который успешно установлен в системе.

EIGRP-IPv4(Default-IP-Routing-Table:10): Callback: route_adjust GigabitEthernet0/1
DUAL: dest(10.10.10.0 255.255.255.0) not active
DUAL: rcvupdate: 10.10.10.0 255.255.255.0 via Connected metric 2816/0 on topoid 0
DUAL: Find FS for dest 10.10.10.0 255.255.255.0. FD is 4294967295, RD is 4294967
295 on topoid 0 found
DUAL: RT installed 10.10.10.0 255.255.255.0 via 0.0.0.0
DUAL: Send update about 10.10.10.0 255.255.255.0. Reason: metric chg on topoid
0
DUAL: Send update about 10.10.10.0 255.255.255.0. Reason: new if on topoid 0
DUAL: dest(10.20.20.0 255.255.255.0) not active
DUAL: rcvupdate: 10.20.20.0 255.255.255.0 via 10.10.10.2 metric 28672/28416 on t
opoid 0
DUAL: Find FS for dest 10.20.20.0 255.255.255.0. FD is 4294967295, RD is 4294967
295 on topoid 0 found
EIGRP-IPv4(Default-IP-Routing-Table:10): route installed for 10.20.20.0 ()
DUAL: RT installed 10.20.20.0 255.255.255.0 via 10.10.10.2
DUAL: Send update about 10.20.20.0 255.255.255.0. Reason: metric chg on topoid
0
DUAL: Send update about 10.20.20.0 255.255.255.0. Reason: new if on topoid 0
DUAL: dest(172.18.124.0 255.255.255.0) not active
DUAL: rcvupdate: 172.18.124.0 255.255.255.0 via 10.10.10.2 metric 131072/130816
on topoid 0
DUAL: Find FS for dest 172.18.124.0 255.255.255.0. FD is 4294967295, RD is 42949
67295 on topoid 0 found
EIGRP-IPv4(Default-IP-Routing-Table:10): route installed for 172.18.124.0 ()
DUAL: RT installed 172.18.124.0 255.255.255.0 via 10.10.10.2
DUAL: Send update about 172.18.124.0 255.255.255.0. Reason: metric chg on topoi
d 0
DUAL: Send update about 172.18.124.0 255.255.255.0. Reason: new if on topoid 0
DUAL: dest(192.168.10.0 255.255.255.0) not active
DUAL: rcvupdate: 192.168.10.0 255.255.255.0 via 10.10.10.2 metric 131072/130816
on topoid 0
DUAL: Find FS for dest 192.168.10.0 255.255.255.0. FD is 4294967295, RD is 42949
67295 on topoid 0 found
EIGRP-IPv4(Default-IP-Routing-Table:10): route installed for 192.168.10.0 ()
DUAL: RT installed 192.168.10.0 255.255.255.0 via 10.10.10.2
DUAL: Send update about 192.168.10.0 255.255.255.0. Reason: metric chg on topoi
d 0
DUAL: Send update about 192.168.10.0 255.255.255.0. Reason: new if on topoid 0

Также можно использовать команду debug eigrp neighbor. Когда Cisco ASA успешно создал новое соседнее отношение с R1, это - выходные данные этой команды отладки.

ciscoasa# EIGRP-IPv4(Default-IP-Routing-Table:10): Callback: route_adjust Gigabi
tEthernet0/1
EIGRP: New peer 10.10.10.2
EIGRP-IPv4(Default-IP-Routing-Table:10): route installed for 10.20.20.0 ()
EIGRP-IPv4(Default-IP-Routing-Table:10): route installed for 172.18.124.0 ()
EIGRP-IPv4(Default-IP-Routing-Table:10): route installed for 192.168.10.0 ()

Можно также использовать debug eigrp packet для подробной информации об обмене сообщениями EIGRP между Cisco ASA и его узлами. В данном примере ключ проверки подлинности был изменен на маршрутизаторе (R1), и выходные данные отладки показывают вам, что проблемой является опознавательное несоответствие.

ciscoasa# EIGRP: Sending HELLO on GigabitEthernet0/1
AS 655362, Flags 0x0, Seq 0/0 interfaceQ 1/1 iidbQ un/rely 0/0
EIGRP: pkt key id = 1, authentication mismatch
EIGRP: GigabitEthernet0/1: ignored packet from 10.10.10.2, opcode = 5
(invalid authentication)

Смежность EIGRP идет, Долой системные журналы ASA-5-336010

Когда любые изменения в листе распространения EIGRP внесены, ASA отбрасывает смежность EIGRP. Это Сообщение системного журнала замечено.

EIGRP Nieghborship Resets with syslogs ASA-5-336010: EIGRP-IPv4: PDM(314 10:
Neighbor 10.15.0.30 (GigabitEthernet0/0) is down: route configuration changed

С этой конфигурацией, каждый раз, когда новая запись acl добавлена в ACL, перезагружена смежность EIGRP Network-list eigrp.

router eigrp 10
distribute-list Eigrp-network-list in
network 10.10.10.0 255.0.0.0
passive-interface default
no passive-interface inside
redistribute static

access-list Eigrp-network-list standard permit any

Можно заметить, что отношения соседей возросли со смежным устройством.

ciscoasa(config)# show eigrp neighbors
EIGRP-IPv4 neighbors for process 10
H Address Interface Hold Uptime SRTT RTO Q Seq
(sec) (ms) Cnt Num
0 10.10.10.2 Gi0/3 10 00:01:22 1 5000 0 5

ciscoasa(config)# show eigrp neighbors
EIGRP-IPv4 neighbors for process 10
H Address Interface Hold Uptime SRTT RTO Q Seq
(sec) (ms) Cnt Num
0 10.10.10.2 Gi0/3 13 00:01:29 1 5000 0 5

Теперь можно добавить, что стандарт Network-list eigrp access-list запрещает 172.18.24.0 255.255.255.0.

%ASA-5-111010: User 'enable_15', running 'CLI' from IP 0.0.0.0, executed 'debug
eigrp fsm'
%ASA-7-111009: User 'enable_15' executed cmd: show access-list
%ASA-5-111008: User 'enable_15' executed the 'access-list Eigrp-network-list line
1 permit 172.18.24.0 255.255.255.0' command.
%ASA-5-111010: User 'enable_15', running 'CLI' from IP 0.0.0.0, executed 'access-list
Eigrp-network-list line 1 permit 172.18.24.0.0 255.255.255.0'
%ASA-7-111009: User 'enable_15' executed cmd: show eigrp neighbors
%ASA-5-336010: EIGRP-IPv4: PDM(599 10: Neighbor 10.10.10.2 (GigabitEthernet0/3) is
down: route configuration changed
%ASA-5-336010: EIGRP-IPv4: PDM(599 10: Neighbor 10.10.10.2 (GigabitEthernet0/3) is
up: new adjacency

Эти журналы могут быть замечены в debug eigrp fsm.

IGRP2: linkdown: start - 10.10.10.2 via GigabitEthernet0/3 
DUAL: Destination 10.10.10.0 255.255.255.0 for topoid 0
DUAL: linkdown: finish

Это - нормальное поведение во всех новых Версиях ASA от 8.4 и 8.6 к 9.1. То же наблюдалось в маршрутизаторах, которые выполняют 12.4 к 15.1 сериям кода. Однако это поведение не наблюдается в Версии ASA 8.2 и более ранних версиях программного обеспечения ASA, потому что изменения, внесенные в ACL , не перезагружают смежности EIGRP.

Так как EIGRP передает полную таблицу топологии соседнему узлу, когда соседний узел сначала подходит, и затем это передает только изменения, настраивание распределить списка с событийно-управляемой природой EIGRP мешало бы изменениям применяться без полного сброса отношений соседей. Маршрутизаторы должны были бы отслеживать каждый маршрут, передаваемый и полученный от соседнего узла для знания, какой маршрут изменился (т.е. был бы или не передаваться/приниматься) для применения, изменения, как продиктовано током распределяют список. Намного проще просто разъединить и восстановить смежность между соседними узлами.

Когда смежность разъединена и восстановлена, обо всех полученных маршрутах между конкретными соседями просто забывают, и вся синхронизация между соседними узлами выполнена снова - с новым, распределяют список на месте.

Большинство способов EIGRP, которые вы используете для устранения проблем маршрутизаторов Cisco IOS может быть применено на Cisco ASA. Для устранения проблем EIGRP используйте Основную Блок-схему устранения проблем; запустите в коробке, отмеченной Основной.


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Document ID: 91264