Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

ASA/PIX с примером конфигурации OSPF

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Этот документ описывает настройку Cisco ASA для изучения маршрутов посредством протокола OSPF, выполнения аутентификации и перераспределение.

Обратитесь к PIX/ASA 8. X : EIGRP Настройки на устройстве адаптивной защиты Cisco (ASA) для получения дополнительной информации о конфигурации протокола EIGRP.

Примечание: Асимметричная маршрутизация не поддерживается в ASA/PIX.

Предварительные условия

Требования

Рассматриваемая процедура настройки предполагает выполнение следующих условий:

  • Cisco ASA / PIX должен выполнить Версию 7.x или позже.

  • OSPF не поддерживается в режиме мультиконтекста; это поддерживается только в одном режиме.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Устройство адаптивной защиты (ASA) серии 5500 Cisco, которое работает под управлением ПО версии 8.0 и позже

  • Cisco Adaptive Security Device Manager (ASDM) версия программного обеспечения 6.0 и позже

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Родственные продукты

Сведения в этом документе также применимы к Cisco межсетевой экран PIX серии 500, который работает под управлением ПО версии 8.0 и позже.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Общие сведения

Протокол OSPF применяет алгоритм состояния каналов для создания и расчета кратчайшего пути ко всем известным адресам назначения. Каждый маршрутизатор в области OSPF содержит идентичную базу данных состояний соединениий, которая является списком каждого маршрутизатора применимые интерфейсы и достижимые соседи.

Преимущества OSPF по RIP включают:

  • Обновления базы данных состояний каналов OSPF передаются менее часто, чем обновления RIP, и база данных состояний соединениий обновлена немедленно, а не постепенно поскольку устаревшие сведения вызваны таймаут.

  • Решения о маршрутизации основываются на стоимости, которая является индикацией относительно издержек, требуемых передавать пакеты по некоторому интерфейсу. Устройство безопасности вычисляет стоимость интерфейса на основе пропускной способности соединения, а не количества переходов назначению. Стоимость может быть настроена для определения предпочтительных путей.

Недостаток кратчайшего пути, который первые алгоритмы - то, что они требуют большого количества циклов ЦПУ и памяти.

Устройство безопасности может выполнить два процесса протокола OSPF одновременно на других наборах интерфейсов. Вы могли бы хотеть выполнить два процесса, если у вас есть интерфейсы, которые используют те же IP-адреса (NAT позволяет этим интерфейсам сосуществовать, но OSPF не позволяет совмещенные адреса). Или вы могли бы хотеть выполнить один процесс на внутренней части и другого на внешней стороне, и перераспределить подмножество маршрутов между двумя процессами. Точно так же вы, возможно, должны были бы выделять частные адреса от общих адресов.

Можно перераспределить маршруты в Процесс маршрутизации OSPF от другого Процесса маршрутизации OSPF, процесса маршрутизации RIP, или от статического и связанных маршрутов, настроенных на поддерживающих OSPF интерфейсах.

Устройство безопасности поддерживает эти функции OSPF:

  • Поддержка внутри-областных, промежуточной области, и внешний (Вводят I и ILS Типа), маршруты.

  • Поддержка виртуального соединения.

  • Затопление LSA OSPF.

  • Аутентификация к пакетам OSPF (и пароль и Аутентификация MD5).

  • Поддержка настройки устройства безопасности как выделенный маршрутизатор или определяемый резервный маршрутизатор. Устройство безопасности также может быть установлено как ABR. Однако возможность настроить устройство безопасности как ASBR ограничена информацией по умолчанию только (например, вводя маршрут по умолчанию).

  • Поддержка изолированных областей и not-so-stubby-areas.

  • Тип маршрутизатора границы области 3 фильтрования LSA.

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Примечание: Чтобы получить подробные сведения о командах в данном документе, используйте Средство поиска команд (только для зарегистрированных клиентов).

Схема сети

В этом документе использованы параметры данной сети:

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107196-ASA8-OSPF-01.gif

В этой топологии сети IP-адрес внутреннего интерфейса Cisco ASA является 10.1.1.1/24. Цель состоит в том, чтобы настроить OSPF на Cisco ASA для обучения маршрутов внутренним сетям (172.16.1.0/24, 172.16.2.0/24, 172.16.5.0/24 и 172.16.10.0/24) динамично через соседний маршрутизатор (R2). R2 изучает маршруты удаленным внутренним сетям через другие два маршрутизатора (R1 и R3).

Конфигурации

Эти конфигурации используются в данном документе:

Настройка посредством ASDM

Менеджер устройств адаптивной безопасности (ASDM) (ASDM) на основе браузера, приложение использовало настраивать и контролировать программное обеспечение на устройствах безопасности. ASDM загружается из устройства безопасности, и затем используется, чтобы настроить, контролировать, и управлять устройством. Можно также использовать Модуль запуска ASDM (только Windows) для запуска приложения ASDM быстрее, чем приложение Java. В этом разделе описываются необходимую информацию для настройки функций, описанных в этом документе с ASDM.

Выполните эти шаги для настройки OSPF в Cisco ASA:

  1. Войдите к Cisco ASA с ASDM.

  2. Перейдите к Конфигурации> Настройка устройства> Направляющий> область OSPF интерфейса ASDM, как показано в этом образе.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107196-ASA8-OSPF-02.gif

  3. Включите Процесс маршрутизации OSPF на вкладке Setup> Process Instances, как показано в этом образе. В данном примере процесс ID OSPF равняется 1.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107196-ASA8-OSPF-03.gif

  4. Можно нажать Advanced на вкладке Setup> Process Instances для настройки дополнительных усовершенствованных параметров Процесса маршрутизации OSPF. Можно отредактировать специфичные для процесса параметры настройки, такие как Идентификатор маршрутизатора, Изменения Смежности, Административные Расстояния Маршрута, Таймеры, и информация По умолчанию инициирует параметры настройки.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107196-ASA8-OSPF-04.gif

    Этот список описывает каждое поле:

    • Процесс OSPF — Отображает процесс OSPF, который вы настраиваете. Вы не можете изменить это значение.

    • Идентификатор маршрутизатора — для использования неподвижного идентификатора маршрутизатора, введите идентификатор маршрутизатора в Формат IP-адреса в поле Router ID. Если вы оставляете это незаполненное значение, IP-адрес высшего уровня на устройстве безопасности используется в качестве идентификатора маршрутизатора.

      В данном примере Идентификатор маршрутизатора статически настроен с IP-адресом внутреннего интерфейса (10.1.1.1).

    • IGNORE LSA MOSPF — Проверьте этот флажок для подавления передачи сообщений журнала системы, когда устройство безопасности получает тип 6 (MOSPF) пакеты LSA. Эта установка неконтролируема по умолчанию.

    • RFC Совместимый 1583 — Проверка этот флажок для вычисления объединенного маршрута стоит на RFC 1583. Анчек этот флажок для вычисления затрат объединенного маршрута на RFC 2328. Для уменьшения шанса циклов маршрутизации всем устройствам OSPF в домене маршрутизации OSPF нужно установить совместимость RFC тождественно. Эта установка выбрана по умолчанию.

    • Изменения смежности — Содержат параметры настройки, которые определяют изменения смежности, которые заставляют сообщения журнала системы передаваться.

      • Регистрационные Изменения Смежности — Проверка этот флажок, чтобы заставить устройство безопасности передавать сообщение журнала системы каждый раз, когда окружение OSPF восстанавливает работоспособность или вниз. Эта установка выбрана по умолчанию.

      • Регистрационная Подробность Изменений Смежности — Проверка этот флажок, чтобы заставить устройство безопасности передавать сообщение журнала системы каждый раз, когда любое изменение состояния происходит, не как раз в то самое время, когда соседний узел поднимается или вниз. Эта установка неконтролируема по умолчанию.

    • Административные Расстояния Маршрута — Содержат параметры настройки для административных расстояний маршрутов на основе типа маршрута.

      • Предайте область земле — Устанавливает административное расстояние для всех маршрутов от одной области до другого. Допустимые значения колеблются от 1 до 255. Значение по умолчанию равняется 100.

      • Область Intra — Устанавливает административное расстояние для всех маршрутов в области. Допустимые значения колеблются от 1 до 255. Значение по умолчанию равняется 100.

      • Внешний — Устанавливает административное расстояние для всех маршрутов от других доменов маршрутизации, которые изучены через перераспределение. Допустимые значения колеблются от 1 до 255. Значение по умолчанию равняется 100.

    • Таймеры — Содержат параметры настройки, используемые для настройки следующего LSA и таймеры вычисления SPF.

      • Время задержки SPF — Задает время между тем, когда OSPF получает изменение топологии и когда запускается вычисление SPF. Допустимые значения колеблются от 0 до 65535. Значение по умолчанию равняется 5.

      • Время удержания SPF — Задает время удержания между последовательными вычислениями SPF. Допустимые значения колеблются от 1 до 65534. Значение по умолчанию равняется 10.

      • Следующая LSA Group — Задает интервал, в котором LSA собраны в группу и обновлены, проверены суммированием, или в возрасте. Допустимые значения колеблются от 10 до 1800. Значение по умолчанию 240.

    • Default Information Originate — Содержит параметры настройки, используемые ASBR для генерации внешнего маршрута по умолчанию в домен маршрутизации OSPF.

      • Включите информацию По умолчанию, происходят — Проверка этот флажок для включения генерации маршрута по умолчанию в домен маршрутизации OSPF.

      • Всегда объявляйте маршрут по умолчанию — Проверка этот флажок, чтобы всегда объявлять маршрут по умолчанию. Эта опция неконтролируема по умолчанию.

      • Значение метрики — Задает метрику Настроек протокола OSPF по умолчанию. Допустимые значения колеблются от 0 до 16777214. Значение по умолчанию равняется 1.

      • Тип метрики — Задает тип External Links, привязанный к маршруту по умолчанию, объявленному в домен маршрутизации OSPF. Допустимые значения равняются 1 или 2, указывая на Тип 1 или Тип 2 внешних маршрута. Значение по умолчанию равняется 2.

      • Карта маршрутизации — (Необязательно) название Карты маршрутизации для применения. Если Карта маршрутизации удовлетворена, процесс маршрутизации генерирует маршрут по умолчанию.

  5. После того, как вы выполните предыдущие шаги, определите сети и интерфейсы, которые участвуют в Маршрутизаторе OSPF на Настройке> вкладка области/Сетей, и затем нажмите Add как показано в этом образе:

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107196-ASA8-OSPF-05.gif

    Диалоговое окно Add OSPF Area появляется.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107196-ASA8-OSPF-06.gif

    В данном примере единственная сеть, которая добавлена, является внутренней сетью (10.1.1.0/24), так как OSPF включен только на внутреннем интерфейсе.

    Примечание: Только интерфейсы с IP-адресом, которые находятся в пределах определенных сетей, участвуют в Процессе маршрутизации OSPF.

  6. Нажмите кнопку ОК.

    Этот список описывает каждого поля:

    • Процесс OSPF — Когда вы добавите новую область, выберите ID для процесса OSPF. Если существует только один процесс OSPF, включенный на устройстве безопасности, то тот процесс выбран по умолчанию. При редактировании существующей области вы не можете изменить ID процесса OSPF.

    • Идентификатор зоны — Когда вы добавите новую область, введите идентификатор зоны. Можно задать идентификатор зоны или как десятичный номер или как IP-адрес. Допустимые десятичные значения колеблются от 0 до 4294967295. Вы не можете изменить идентификатор зоны при редактировании существующей области.

      В данном примере Идентификатор зоны 0.

    • Тип области — Содержит параметры настройки для настраиваемого типа области.

      • Обычный — Выбирают эту опцию для создания области стандартной областью OSPF. Эта опция выбрана по умолчанию при первом создании области.

      • Stub — Выберите эту опцию для создания области изолированной областью. Изолированные области не имеют никаких маршрутизаторов или областей вне его. Изолированные области предотвращают Внешние LSA AS (введите 5 LSA) от того, чтобы быть лавинно рассылаемым в изолированную область. При создании изолированной области можно снять флажок с флажком Summary, чтобы к предотвратить суммарные объявления о состоянии каналов (вводят 3 и 4) от того, чтобы быть лавинно рассылаемым в область.

      • Сводка — Когда определяемой областью является изолированная область, снимите флажок с этим флажком, чтобы препятствовать тому, чтобы LSA были переданы в изолированную область. Этот флажок установлен по умолчанию для изолированных областей.

      • NSSA — Выбирает эту опцию для создания области не совсем тупиковой зоной. NSSAs принимают тип 7 LSA. При создании NSSA можно снять флажок с флажком Summary, чтобы препятствовать тому, чтобы суммарные объявления о состоянии каналов были лавинно разосланы в область. Кроме того, можно снять флажок с флажком Redistribute и включить информацию Defautl, Происходят для отключения перераспределения маршрутов.

      • Перераспределите — анчек этот флажок, чтобы препятствовать тому, чтобы маршруты были импортированы в NSSA. Этот флажок установлен по умолчанию.

      • Сводка — Когда определяемой областью является NSSA, снимите флажок с этим флажком, чтобы препятствовать тому, чтобы LSA были переданы в изолированную область. Этот флажок установлен по умолчанию для NSSAs.

      • Default Information Originate — Проверьте этот флажок для генерации типа 7 по умолчанию в NSSA. Этот флажок неконтролируем по умолчанию.

      • Значение метрики — Вводит значение для определения значения метрики OSPF для маршрута по умолчанию. Допустимые значения колеблются от 0 до 16777214. Значение по умолчанию равняется 1.

      • Тип метрики — Выбирает значение для определения типа метрики OSPF для маршрута по умолчанию. Выборы равняются 1 (введите 1), или 2 (вводят 2). Значение по умолчанию равняется 2.

    • Локальные сети — Содержат параметры настройки, которые определяют область OSPF.

      • Введите IP-адрес, и Маска — Содержит параметры настройки, используемые для определения сетей в области.

        • IP-адрес IP-адрес сети или узла, которая будет добавлена к области. Используйте 0.0.0.0 с маской подсети 0.0.0.0 для создания области по умолчанию. Можно использовать 0.0.0.0 только в одной области.

        • Маска подсети — Выбирает маску сети для IP-адреса или хоста, который будет добавлен к области. Если вы добавляете хост, выбираете эти 255.255.255.255 масок.

          В данном примере 10.1.1.0/24 является сетью, которая будет настроена.

      • Add — Добавляет сеть, определенная в области Enter IP Address и Mask к области. Добавленная сеть появляется в таблице Локальных сетей.

      • Delete — Удаляет выбранную сеть из таблицы Локальных сетей.

      • Локальные сети — Отображают сети, определенные для области.

      • IP-адрес IP-адрес сети.

      • Маска подсети — Отображает маску сети для сети.

    • Аутентификация — Содержит параметры настройки для аутентификации области OSPF.

      • Ни один — Не Выбирает эту опцию для отключения аутентификации области OSPF. Эта настройка используется по умолчанию.

      • Password эту опцию для использования незашифрованного пароля для области аутентификации. Эта опция не рекомендуется, где безопасность является беспокойством.

      • MD5 — Выбирает эту опцию для использования Аутентификации MD5.

    • Стоимость по умолчанию — Задает стоимость по умолчанию для области. Допустимые значения колеблются от 0 до 65535. Значение по умолчанию равняется 1.

  7. Нажмите кнопку Apply.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107196-ASA8-OSPF-07.gif

  8. Дополнительно, можно определить фильтры маршрута на области Filter Rules. Фильтрация маршрута предоставляет больший контроль над маршрутами, которым позволяют быть переданными или полученными в обновлениях OSPF.

  9. Можно дополнительно настроить перераспределение маршрутов. Cisco ASA может перераспределить маршруты, обнаруженные RIP и EIGRP в Процесс маршрутизации OSPF. Можно также перераспределить статичный и связанные маршруты в Процесс маршрутизации OSPF. Определите перераспределение маршрутов на области Redistribution.

  10. Пакеты приветствия OSPF передаются как пакеты групповой адресации. Если окружение OSPF расположено по нешироковещательной сети, необходимо вручную определить тот соседний узел. При ручном определении окружения OSPF пакеты приветствия передаются тому соседнему узлу как одноадресные сообщения. Для определения статических окружений OSPF перейдите к области Static Neighbor.

  11. Могут быть суммированы маршруты, изученные из других протоколов маршрутизации. Метрика, используемая для объявления сводки, является наименьшей метрикой всех уточненных маршрутов. Объединенные маршруты помогают уменьшать размер таблицы маршрутизации.

    Использование объединенных маршрутов для OSPF заставляет ASBR OSPF объявлять один внешний маршрут как агрегат для всех перераспределенных маршрутов, которые покрыты адресом. Только маршруты от других протоколов маршрутизации, которые перераспределяются в OSPF, могут быть суммированы.

  12. В области Виртуального соединения можно добавить область к сети OSPF, и не возможно подключить область непосредственно до мозга костей область; необходимо создать виртуальное соединение. Виртуальное соединение подключает два устройства OSPF, которые имеют общую область, названную транзитной областью. Одно из устройств OSPF должно быть связано до мозга костей область.

Настройте проверку подлинности OSPF

Cisco ASA поддерживает Аутентификацию MD5 обновлений маршрута от протокола маршрутизации OSPF. MD5 ввел, дайджест в каждом пакете OSPF предотвращает введение неавторизованных или ложных сообщений маршрутизации из неутвержденных источников. Добавление аутентификации к сообщениям OSPF гарантирует, что маршрутизаторы и Cisco ASA только принимают сообщения маршрутизации от других устройств маршрутизации, которые настроены с тем же предварительным общим ключом. Без этой настроенной аутентификации, если кто-то начинает другое устройство маршрутизации с других или противоположных сведений о маршруте на сеть, таблицы маршрутизации на маршрутизаторах или Cisco ASA могут стать поврежденными, и атака типа отказ в обслуживании может последовать. Когда вы добавляете аутентификацию к сообщениям EIGRP, передаваемым между устройствами маршрутизации (который включает ASA), это предотвращает целеустремленное или случайное добавление другого маршрутизатора к сети и любой проблеме.

Аутентификация маршрута OSPF настроена на поинтерфейсной основе. Все окружения OSPF на интерфейсах, настроенных для аутентификации сообщения OSPF, должны быть настроены с тем же режимом аутентификации и ключом для смежностей, которые будут установлены.

Выполните эти шаги для включения Аутентификации MD5 OSPF на Cisco ASA:

  1. На ASDM перейдите к Конфигурации> Настройка устройства> Направляющий> OSPF> Интерфейс, и затем нажмите вкладку Authentication как показано в этом образе.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107196-ASA8-OSPF-08.gif

    В этом случае OSPF включен на внутреннем интерфейсе.

  2. Выберите внутренний интерфейс и нажмите Edit.

  3. Под Аутентификацией выберите Аутентификацию MD5 и добавьте дополнительные сведения о параметрах аутентификации здесь.

    В этом случае предварительный ключ – cisco123, а идентификатор ключа – 1.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107196-ASA8-OSPF-09.gif

  4. Нажмите кнопку OK, а затем нажмите Apply.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107196-ASA8-OSPF-10.gif

Конфигурация интерфейса командой строки Cisco ASA

Cisco — ASA
ciscoasa#show running-config
: Saved
:
ASA Version 8.0(2)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names


!--- Inside interface configuration


interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0
 ospf cost 10
 

!--- OSPF authentication is configured on the inside interface 


 ospf message-digest-key 1 md5 <removed>
 ospf authentication message-digest
!


!--- Outside interface configuration


interface Ethernet0/2
 nameif outside
 security-level 0
 ip address 192.168.1.2 255.255.255.0
 ospf cost 10
!

!--- Output Suppressed


icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400
!


!--- OSPF Configuration


router ospf 1
 network 10.1.1.0 255.255.255.0 area 0
 log-adj-changes
!


!--- This is the static default gateway configuration in
order to reach Internet


route outside 0.0.0.0 0.0.0.0 192.168.1.1 1

ciscoasa#

Маршрутизатор Cisco IOS (R2) конфигурация интерфейса командой строки

Маршрутизатор Cisco IOS (R2)


!--- Interface that connects to the Cisco ASA.
!--- Notice the OSPF authentication parameters


interface Ethernet0
 ip address 10.1.1.2 255.255.255.0
 ip ospf authentication message-digest
 ip ospf message-digest-key 1 md5 cisco123


!--- Output Suppressed



!--- OSPF Configuration


router ospf 1
 log-adjacency-changes
 network 10.1.1.0 0.0.0.255 area 0
 network 172.16.1.0 0.0.0.255 area 0
 network 172.16.2.0 0.0.0.255 area 0

Маршрутизатор Cisco IOS (R1) конфигурация интерфейса командой строки

Маршрутизатор Cisco IOS (R1)

!--- Output Suppressed



!--- OSPF Configuration


router ospf 1
 log-adjacency-changes
 network 172.16.5.0 0.0.0.255 area 0
 network 172.16.2.0 0.0.0.255 area 0

Маршрутизатор Cisco IOS (R3) конфигурация интерфейса командой строки

Маршрутизатор Cisco IOS (R3)

!--- Output Suppressed



!--- OSPF Configuration


router ospf 1
 log-adjacency-changes
 network 172.16.1.0 0.0.0.255 area 0
 network 172.16.10.0 0.0.0.255 area 0

Перераспределите в OSPF с ASA

Как отмечалось ранее, можно перераспределить маршруты в Процесс маршрутизации OSPF от другого Процесса маршрутизации OSPF, процесса маршрутизации RIP, или от статического и связанных маршрутов, настроенных на поддерживающих OSPF интерфейсах.

В данном примере, перераспределяя Маршруты RIP в OSPF со схемой сети как показано:

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107196-ASA8-OSPF-11.gif

Настройка посредством ASDM

  1. Выберите Configuration> Device Setup> Routing> RIP> Setup, чтобы включить RIP и добавить сеть 192.168.1.0 как показано в этом образе.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107196-ASA8-OSPF-12.gif

  2. Нажмите кнопку Apply.

  3. Выберите Configuration> Device Setup> Routing> OSPF> Redistribution> Add для перераспределения Маршрутов RIP в OSPF.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107196-ASA8-OSPF-13.gif

  4. Нажмите кнопку OK, а затем нажмите Apply.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107196-ASA8-OSPF-14.gif

Эквивалентная конфигурация в интерфейсе командной строки

Конфигурация интерфейса командой строки ASA для перераспределяет RIP в AS OSPF
router ospf 1
 network 10.1.1.0 255.255.255.0 area 0
 log-adj-changes
 redistribute rip subnets

router rip
 network 192.168.1.0

Вы видите таблицу маршрутизации соседнего Маршрутизатора IOS (R2) после перераспределения Маршрутов RIP в AS OSPF.

R2#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

     172.16.0.0/16 is variably subnetted, 4 subnets, 2 masks
O       172.16.10.1/32 [110/11] via 172.16.1.2, 01:17:29, Ethernet1
O       172.16.5.1/32 [110/65] via 172.16.2.2, 01:17:29, Serial1
C       172.16.1.0/24 is directly connected, Ethernet1
C       172.16.2.0/24 is directly connected, Serial1
     10.0.0.0/24 is subnetted, 1 subnets
C       10.1.1.0 is directly connected, Ethernet0
O E2 192.168.1.0/24 [110/20] via 10.1.1.1, 01:17:29, Ethernet0

!--- Redistributed route adverstied by Cisco ASA

Проверка.

Выполните эти шаги для подтверждения конфигурации:

  1. На ASDM можно перейти к Мониторингу> Направляющий> Окружения OSPF для наблюдения каждого из окружений OSPF. Этот образ показывает внутренний маршрутизатор (R2) как активный соседний узел. Можно также видеть интерфейс, где этот соседний узел находится, идентификатор соседнего маршрутизатора, состояние, и Время простоя.

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107196-ASA8-OSPF-15.gif

  2. Кроме того, можно проверить таблицу маршрутизации, если перейти к Monitoring > Routing > Routes. В этом образе 172.16.1.0/24, 172.16.2.0/24, 172.16.5.0/24, и 172.16.10.0/24 сети изучены через R2 (10.1.1.2).

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/107196-ASA8-OSPF-16.gif

  3. От CLI можно использовать команду show route для получения тех же выходных данных.

    ciscoasa#show route
    
    Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
           D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
           N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
           E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
           i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
           * - candidate default, U - per-user static route, o - ODR
           P - periodic downloaded static route
    
    Gateway of last resort is 192.168.1.1 to network 0.0.0.0
    
    O    172.16.10.1 255.255.255.255 [110/21] via 10.1.1.2, 0:00:06, inside
    O    172.16.5.1 255.255.255.255 [110/75] via 10.1.1.2, 0:00:06, inside
    O    172.16.1.0 255.255.255.0 [110/20] via 10.1.1.2, 0:00:06, inside
    O    172.16.2.0 255.255.255.0 [110/74] via 10.1.1.2, 0:00:06, inside
    C    10.1.1.0 255.255.255.0 is directly connected, inside
    C    10.77.241.128 255.255.255.192 is directly connected, dmz
    S    10.77.0.0 255.255.0.0 [1/0] via 10.77.241.129, dmz
    C    192.168.1.0 255.255.255.0 is directly connected, outside
    S*   0.0.0.0 0.0.0.0 [1/0] via 192.168.1.1, outside
  4. Можно также использовать команду show ospf database для получения информации об изученных сетях и топологии ospf.

    ciscoasa#show ospf database
    
    
           OSPF Router with ID (192.168.1.2) (Process ID 1)
    
    
                    Router Link States (Area 0)
    
    Link ID         ADV Router      Age         Seq#       Checksum Link count
    172.16.1.2      172.16.1.2      123         0x80000039 0xfd1d 2
    172.16.2.1      172.16.2.1      775         0x8000003c 0x9b42 4
    172.16.5.1      172.16.5.1      308         0x80000038 0xb91b 3
    192.168.1.2     192.168.1.2     1038        0x80000037 0x29d7 1
    
                    Net Link States (Area 0)
    
    Link ID         ADV Router      Age         Seq#       Checksum
    10.1.1.1        192.168.1.2     1038        0x80000034 0x72ee
    172.16.1.1      172.16.2.1      282         0x80000036 0x9e68
  5. Команда show ospf neighbor также полезна для подтверждения активных соседних узлов и соответствующей информации. Данный пример показывает ту же информацию, которую вы получили из ASDM на шаге 1.

    ciscoasa#show ospf neighbor
    
    
    Neighbor ID     Pri   State           Dead Time   Address         Interface
    172.16.2.1        1   FULL/BDR        0:00:36     10.1.1.2        inside

Устранение неполадок

Этот раздел предоставляет сведения, который мог бы упростить решающие проблемы OSPF.

Конфигурация статического соседа для сети с двухточечным соединением

При настройке точка-точка сети OSPF, нешироковещательного на ASA необходимо определить статические окружения OSPF для объявления маршрутов OSPF по точка-точка, нешироковещательная сети. Обратитесь к Определению Статических Окружений OSPF для получения дополнительной информации.

Команды для устранения неполадок

Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

Примечание: Прежде чем выполнять какие-либо команды отладки , ознакомьтесь с документом "Важные сведения о командах отладки".

  • события ospf отладки — Включают отладку Событий ospf.

    ciscoasa(config)#debug ospf events
    OSPF events debugging is on
    ciscoasa(config)# int e0/1
    ciscoasa(config-if)# no shu
    ciscoasa(config-if)#
    OSPF: Interface inside going Up
    OSPF: Send with youngest Key 1
    OSPF: Rcv hello from 172.16.2.1 area 0 from inside 10.1.1.2
    OSPF: 2 Way Communication to 172.16.2.1 on inside, state 2WAY
    OSPF: Backup seen Event before WAIT timer on inside
    OSPF: DR/BDR election on inside
    OSPF: Elect BDR 172.16.2.1
    OSPF: Elect DR 172.16.2.1
           DR: 172.16.2.1 (Id)   BDR: 172.16.2.1 (Id)
    OSPF: Send DBD to 172.16.2.1 on inside seq 0x1abd opt 0x2 flag 0x7 len 32
    OSPF: Send with youngest Key 1
    OSPF: End of hello processing
    OSPF: Rcv hello from 172.16.2.1 area 0 from inside 10.1.1.2
    OSPF: End of hello processing
    OSPF: Rcv DBD from 172.16.2.1 on inside seq 0x12f3 opt 0x42 flag 0x7 len 32  mtu
     1500 state EXSTART
    OSPF: First DBD and we are not SLAVE
    OSPF: Rcv DBD from 172.16.2.1 on inside seq 0x1abd opt 0x42 flag 0x2 len 152  mt
    u 1500 state EXSTART
    OSPF: NBR Negotiation Done. We are the MASTER
    OSPF: Send DBD to 172.16.2.1 on inside seq 0x1abe opt 0x2 flag 0x3 len 132
    OSPF: Send with youngest Key 1
    OSPF: Send with youngest Key 1
    OSPF: Database request to 172.16.2.1
    OSPF: sent LS REQ packet to 10.1.1.2, length 12
    OSPF: Rcv DBD from 172.16.2.1 on inside seq 0x1abe opt 0x42 flag 0x0 len 32  mtu
     1500 state EXCHANGE
    OSPF: Send DBD to 172.16.2.1 on inside seq 0x1abf opt 0x2 flag 0x1 len 32
    OSPF: Send with youngest Key 1
    OSPF: Send with youngest Key 1
    OSPF: Rcv DBD from 172.16.2.1 on inside seq 0x1abf opt 0x42 flag 0x0 len 32  mtu
     1500 state EXCHANGE
    OSPF: Exchange Done with 172.16.2.1 on inside
    OSPF: Synchronized with 172.16.2.1 on inside, state FULL
    OSPF: Send with youngest Key 1
    OSPF: Send with youngest Key 1
    OSPF: Rcv hello from 172.16.2.1 area 0 from inside 10.1.1.2
    OSPF: Neighbor change Event on interface inside
    OSPF: DR/BDR election on inside
    OSPF: Elect BDR 192.168.1.2
    OSPF: Elect DR 172.16.2.1
    OSPF: Elect BDR 192.168.1.2
    OSPF: Elect DR 172.16.2.1
           DR: 172.16.2.1 (Id)   BDR: 192.168.1.2 (Id)
    OSPF: End of hello processing
    OSPF: Send with youngest Key 1
    OSPF: Send with youngest Key 1
    OSPF: Send with youngest Key 1
    OSPF: Send with youngest Key 1
    OSPF: Rcv hello from 172.16.2.1 area 0 from inside 10.1.1.2
    OSPF: End of hello processing
    OSPF: Send with youngest Key 1
    OSPF: Rcv hello from 172.16.2.1 area 0 from inside 10.1.1.2
    OSPF: End of hello processing
    OSPF: Send with youngest Key 1
    OSPF: Rcv hello from 172.16.2.1 area 0 from inside 10.1.1.2
    OSPF: End of hello processing
    OSPF: Send with youngest Key 1
    OSPF: Rcv hello from 172.16.2.1 area 0 from inside 10.1.1.2
    OSPF: End of hello processing

    Примечание: Обратитесь к разделу ospf отладки Справочника по командам Cisco Security Appliance, Версии 8.0 для получения дополнительной информации о различных командах, которые полезны для устренения проблемы.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 107196