Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

ASA/PIX с примером конфигурации OSPF

28 июля 2013 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (29 мая 2008) | Отзыв


Содержание


Введение

Этот документ описывает настройку Cisco ASA для изучения маршрутов посредством протокола OSPF, выполнения аутентификации и перераспределение.

Обратитесь к PIX/ASA 8. X : EIGRP Настройки на устройстве адаптивной защиты Cisco (ASA) для получения дополнительной информации о конфигурации протокола EIGRP.

Примечание. Асимметричная маршрутизация не поддерживается в ASA/PIX.

Предварительные условия

Требования

Рассматриваемая процедура настройки предполагает выполнение следующих условий:

  • ASA/PIX Cisco должен выполнить Версию 7.x или позже.

  • OSPF не поддерживается в режиме мультиконтекста; это поддерживается только в одном режиме.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

  • Устройство адаптивной защиты (ASA) серии 5500 Cisco, которое работает под управлением ПО версии 8.0 и позже

  • Cisco Adaptive Security Device Manager (ASDM) версия программного обеспечения 6.0 и позже

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Родственные продукты

Сведения в этом документе также применимы к PIX firewall Серии Cisco 500, который работает под управлением ПО версии 8.0 и позже.

Условные обозначения

Подробные сведения об условных обозначениях см. в документе "Условные обозначения технических терминов Cisco".

Общие сведения

Протокол OSPF применяет алгоритм состояния каналов для создания и расчета кратчайшего пути ко всем известным адресам назначения. Каждый маршрутизатор в области OSPF содержит идентичную базу данных состояний соединениий, которая является списком каждого маршрутизатора применимые интерфейсы и достижимые соседи.

Преимущества OSPF по RIP включают:

  • Обновления базы данных состояний каналов OSPF передаются менее часто, чем обновления RIP, и база данных состояний соединениий обновлена немедленно, а не постепенно поскольку устаревшие сведения вызваны таймаут.

  • Решения о маршрутизации основываются на стоимости, которая является индикацией относительно издержек, требуемых передать пакеты через некоторый интерфейс. Устройство защиты вычисляет стоимость интерфейса на основе пропускной способности соединения, а не количества переходов назначению. Стоимость может быть настроена для задавания предпочтительных путей.

Недостаток кратчайшего пути, который первые алгоритмы - то, что они требуют большого количества циклов ЦПУ и памяти.

Устройство защиты может выполнить два процесса протокола OSPF одновременно на других наборах интерфейсов. Вы могли бы хотеть выполнить два процесса, если у вас есть интерфейсы, которые используют те же IP-адреса (NAT позволяет этим интерфейсам сосуществовать, но OSPF не позволяет совмещенные адреса). Или вы могли бы хотеть выполнить один процесс на внутренней части, и другого на внешней стороне, и перераспределить подмножество маршрутов между двумя процессами. Точно так же вы, возможно, должны были бы выделять частные адреса от общих адресов.

Можно перераспределить маршруты в Процесс маршрутизации OSPF от другого Процесса маршрутизации OSPF, процесса маршрутизации RIP, или от статического и связанных маршрутов, настроенных на поддерживающих OSPF интерфейсах.

Устройство защиты поддерживает эти функции OSPF:

  • Поддержка внутри-областных, промежуточной области, и внешний (Вводят I и ILS Типа), маршруты.

  • Поддержка виртуального соединения.

  • Затопление LSA OSPF.

  • Аутентификация к пакетам OSPF (и пароль и аутентификация MD5).

  • Поддержка настройки устройства защиты как выделенного маршрутизатора или определяемого резервного маршрутизатора. Устройство защиты также может быть установлено как ABR. Однако возможность настроить устройство защиты как ASBR ограничена информацией по умолчанию только (например, вводя маршрут по умолчанию).

  • Поддержка изолированных областей и not-so-stubby-areas.

  • Тип маршрутизатора границы области 3 фильтрования LSA.

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в данном документе.

 Примечание.Воспользуйтесь инструментом Command Lookup ( только для зарегистрированных заказчиков), чтобы получить дополнительную информацию о командах, используемых в этом разделе.

Схема сети

В этом документе использованы параметры данной сети.

/image/gif/paws/107196/ASA8. OSPF_01.gif

В этой топологии сети IP-адрес внутреннего интерфейса ASA Cisco является 10.1.1.1/24. Цель состоит в том, чтобы настроить OSPF на ASA Cisco, чтобы изучить маршруты внутренним сетям (172.16.1.0/24, 172.16.2.0/24, 172.16.5.0/24 и 172.16.10.0/24) динамически через соседний маршрутизатор (R2). R2 изучает маршруты удаленным внутренним сетям через другие два маршрутизатора (R1 и R3).

Конфигурации

В настоящем документе используются следующие конфигурации.

Настройка посредством ASDM

Менеджер устройств адаптивной защиты (ASDM) (ASDM) на основе браузера, приложение имело обыкновение настраивать и контролировать программное обеспечение на устройствах защиты. ASDM загружается из устройства защиты, и затем используется, чтобы настроить, контролировать, и управлять устройством. Можно также использовать Модуль запуска ASDM (только Windows), чтобы запустить приложение ASDM быстрее, чем приложение Java. Этот раздел описывает информацию, необходимо настроить функции, описанные в этом документе с ASDM.

Выполните эти шаги, чтобы настроить OSPF в ASA Cisco:

  1. Войдите к ASA Cisco с ASDM.

  2. Переместитесь к Конфигурации> Настройка Устройства> Направляющий> область OSPF интерфейса ASDM, как показано в этом образе.

    /image/gif/paws/107196/ASA8. OSPF_02.gif

  3. Включите Процесс маршрутизации OSPF на вкладке Setup> Process Instances, как показано в этом образе. В данном примере процесс ID OSPF равняется 1.

    ASA8. OSPF_03.gif

  4. Можно нажать Advanced на вкладке Setup> Process Instances, чтобы настроить дополнительные усовершенствованные параметры Процесса маршрутизации OSPF. Можно отредактировать специфичные для процесса параметры настройки, такие как Идентификатор маршрутизатора, Смежность Изменяется, Административные Расстояния Маршрута, Таймеры, и информация По умолчанию Инициирует параметры настройки.

    ASA8. OSPF_04.gif

    Этот список описывает каждое поле:

    • Процесс OSPF — Отображает процесс OSPF, который вы настраиваете. Вы не можете изменить это значение.

    • Идентификатор маршрутизатора — Чтобы использовать неподвижный идентификатор маршрутизатора, введите идентификатор маршрутизатора в Формат IP-адреса в поле Идентификатора маршрутизатора. Если вы оставляете это незаполненное значение, IP-адрес высшего уровня на устройстве защиты используется как идентификатор маршрутизатора.

      В данном примере Идентификатор маршрутизатора статически настроен с IP-адресом внутреннего интерфейса (10.1.1.1).

    • IGNORE LSA MOSPF — Проверьте этот флажок, чтобы подавить передачу сообщений журнала системы, когда устройство защиты получает тип 6 (MOSPF) пакеты LSA. Эта установка необузданна по умолчанию.

    • RFC Совместимый 1583 — Проверка этот флажок, чтобы вычислить объединенный маршрут, стоит за RFC 1583. Анчек этот флажок, чтобы вычислить затраты объединенного маршрута за RFC 2328. Чтобы минимизировать шанс циклов маршрутизации, всем устройствам OSPF в домене Маршрутизатора OSPF нужно установить совместимость RFC тождественно. Эта установка выбрана по умолчанию.

    • Смежность Изменяется — Содержит параметры настройки, которые определяют смежность, изменяет ту причину сообщения журнала системы, которые будут передаваться.

      • Регистрационная Смежность Изменяется — Проверка этот флажок, чтобы заставить устройство защиты передавать сообщение журнала системы каждый раз, когда окружение OSPF восстанавливает работоспособность или вниз. Эта установка выбрана по умолчанию.

      • Регистрационная Смежность Изменяет Подробность — Проверка этот флажок, чтобы заставить устройство защиты передавать сообщение журнала системы каждый раз, когда любое изменение состояния происходит, не как раз в то самое время, когда соседний узел поднимается или вниз. Эта установка необузданна по умолчанию.

    • Административные Расстояния Маршрута — Содержат параметры настройки для административных расстояний маршрутов на основе типа маршрута.

      • Область Inter — Устанавливает административное расстояние для всех маршрутов от одной области до другого. Допустимые значения колеблются от 1 до 255. Значение по умолчанию равняется 100.

      • Область Intra — Устанавливает административное расстояние для всех маршрутов в области. Допустимые значения колеблются от 1 до 255. Значение по умолчанию равняется 100.

      • Внешний — Устанавливает административное расстояние для всех маршрутов от других доменов маршрутизации, которые изучены через перераспределение. Допустимые значения колеблются от 1 до 255. Значение по умолчанию равняется 100.

    • Таймеры — Содержат параметры настройки, используемые для настройки следующего LSA и таймеры вычисления SPF.

      • Время задержки SPF — Задает время между тем, когда OSPF получает изменение топологии и когда запускается вычисление SPF. Допустимые значения колеблются от 0 до 65535. Значение по умолчанию равняется 5.

      • Время удержания SPF — Задает время удержания между последовательными вычислениями SPF. Допустимые значения колеблются от 1 до 65534. Значение по умолчанию равняется 10.

      • Следующая LSA Group — Задает интервал, в котором LSA собраны в группу и обновлены, проверены суммированием, или в возрасте. Допустимые значения колеблются от 10 до 1800. Значение по умолчанию 240.

    • Информация по умолчанию Происходит — Содержит параметры настройки, используемые ASBR для генерирования внешнего маршрута по умолчанию в домен Маршрутизатора OSPF.

      • Включите информацию По умолчанию, Происходят — Проверка этот флажок, чтобы включить генерацию маршрута по умолчанию в домен Маршрутизатора OSPF.

      • Всегда рекламируйте маршрут по умолчанию — Проверка этот флажок, чтобы всегда рекламировать маршрут по умолчанию. Эта опция необузданна по умолчанию.

      • Значение метрики — Задает метрику Настроек протокола OSPF по умолчанию. Допустимые значения колеблются от 0 до 16777214. Значение по умолчанию равняется 1.

      • Тип метрики — Задает тип External Links, привязанный к маршруту по умолчанию, рекламируемому в домен Маршрутизатора OSPF. Допустимые значения равняются 1 или 2, указывая на Тип 1 или Тип 2 внешних маршрута. Значение по умолчанию равняется 2.

      • Карта маршрутизации — (Дополнительный) название Карты маршрутизации для применения. Если Карта маршрутизации удовлетворена, процесс маршрутизации генерирует маршрут по умолчанию.

  5. После того, как вы выполняете предыдущие шаги, определяете сети и интерфейсы, которые участвуют в Маршрутизаторе OSPF на Настройке> вкладка области/Сетей, и затем нажмите Add как показано в этом образе:

    /image/gif/paws/107196/ASA8. OSPF_05.gif

    Диалоговое окно Add OSPF Area появляется.

    /image/gif/paws/107196/ASA8. OSPF_06.gif

    В данном примере единственная сеть, которая добавлена, является внутренней сетью (10.1.1.0/24), так как OSPF включен только на внутреннем интерфейсе.

    Примечание. Только интерфейсы с IP-адресом, которые находятся в пределах определенных сетей, участвуют в Процессе маршрутизации OSPF.

  6. Нажмите кнопку ОК.

    Этот список описывает каждого поля:

    • Процесс OSPF — Когда вы добавляете новую область, выберите ID для процесса OSPF. Если существует только один процесс OSPF, включенный на устройстве защиты, то тот процесс выбран по умолчанию. При редактировании существующей области вы не можете изменить ID процесса OSPF.

    • Идентификатор зоны — Когда вы добавляете новую область, введите идентификатор зоны. Можно задать идентификатор зоны или как десятичный номер или как IP-адрес. Допустимые десятичные значения колеблются от 0 до 4294967295. Вы не можете изменить идентификатор зоны при редактировании существующей области.

      В данном примере Идентификатор зоны 0.

    • Тип области — Содержит параметры настройки для настраиваемого типа области.

      • Обычный — Выбирают эту опцию, чтобы сделать область стандартной областью OSPF. Эта опция выбрана по умолчанию при первом создании области.

      • Stub — Выберите эту опцию, чтобы сделать область изолированной областью. Изолированные области не имеют любых маршрутизаторов или областей вне его. Изолированные области предотвращают Внешние LSA AS (введите 5 LSA) от того, чтобы быть лавинно рассылаемым в изолированную область. При создании изолированной области вы можете снятие флажок Summary, чтобы к предотвратить суммарные объявления о состоянии каналов (вводят 3 и 4) от того, чтобы быть лавинно рассылаемым в область.

      • Сводка — Когда определяемой областью является изолированная область, снятие этот флажок, чтобы препятствовать тому, чтобы LSA были переданы в изолированную область. Этот флажок установлен по умолчанию для изолированных областей.

      • NSSA — Выбирает эту опцию, чтобы сделать область не совсем тупиковой зоной. NSSA принимают тип 7 LSA. При создании NSSA вы можете снятие флажок Summary, чтобы препятствовать тому, чтобы суммарные объявления о состоянии каналов были лавинно разосланы в область. Кроме того, вы можете снятие флажок Redistribute и включать информацию Defautl, Происходят, чтобы отключить перераспределение маршрутов.

      • Перераспределите — анчек этот флажок, чтобы препятствовать тому, чтобы маршруты были импортированы в NSSA. Этот флажок установлен по умолчанию.

      • Сводка — Когда определяемой областью является NSSA, снятие этот флажок, чтобы препятствовать тому, чтобы LSA были переданы в изолированную область. Этот флажок установлен по умолчанию для NSSA.

      • Информация по умолчанию Происходит — Проверка этот флажок, чтобы генерировать тип 7 по умолчанию в NSSA. Этот флажок необуздан по умолчанию.

      • Значение метрики — Вводит значение, чтобы задать значение метрики OSPF для маршрута по умолчанию. Допустимые значения колеблются от 0 до 16777214. Значение по умолчанию равняется 1.

      • Тип метрики — Выбирает значение, чтобы задать тип метрики OSPF для маршрута по умолчанию. Выборы равняются 1 (введите 1), или 2 (вводят 2). Значение по умолчанию равняется 2.

    • Локальные сети — Содержат параметры настройки, которые определяют область OSPF.

      • Введите IP-адрес, и Маска — Содержит параметры настройки, используемые для определения сетей в области.

        • IP-адрес — Вводит IP-адрес сети или узла, которая будет добавлена к области. Используйте 0.0.0.0 с маской подсети 0.0.0.0 для создания области по умолчанию. Можно использовать 0.0.0.0 только в одной области.

        • Маска подсети — Выбирает маску сети для IP-адреса или хоста, который будет добавлен к области. Если вы добавляете хост, выбираете эти 255.255.255.255 масок.

          В данном примере 10.1.1.0/24 является сетью, которая будет настроена.

      • Add — Добавляет сеть, определенная в области Enter IP Address и Mask к области. Добавленная сеть появляется в таблице Локальных сетей.

      • Delete — Удаляет выбранную сеть из таблицы Локальных сетей.

      • Локальные сети — Отображают сети, определенные для области.

      • IP-адрес — Отображает IP-адрес сети.

      • Маска подсети — Отображает маску сети для сети.

    • Аутентификация — Содержит параметры настройки для аутентификации области OSPF.

      • Ни один — Не Выбирает эту опцию, чтобы отключить аутентификацию области OSPF. Это настройка по умолчанию.

      • Password — Выберите эту опцию, чтобы использовать незашифрованный пароль для области аутентификации. Эта опция не рекомендуется, где безопасность является беспокойством.

      • MD5 — Выбирает эту опцию, чтобы использовать аутентификацию MD5.

    • Стоимость по умолчанию — Задает стоимость по умолчанию для области. Допустимые значения колеблются от 0 до 65535. Значение по умолчанию равняется 1.

  7. Нажмите кнопку Apply.

    ASA8. OSPF_07.gif

  8. Дополнительно, можно определить фильтры маршрута на области Filter Rules. Фильтрация маршрута предоставляет больший контроль над маршрутами, которым позволяют быть переданными или полученными в обновлениях OSPF.

  9. Можно дополнительно настроить перераспределение маршрутов. ASA Cisco может перераспределить маршруты, обнаруженные RIP и EIGRP в Процесс маршрутизации OSPF. Можно также перераспределить статичный и связанные маршруты в Процесс маршрутизации OSPF. Определите перераспределение маршрутов на области Redistribution.

  10. Пакеты приветствия OSPF передаются как многоадресные пакеты. Если окружение OSPF располагается через нешироковещательную сеть, необходимо вручную определить тот соседний узел. При ручном определении окружения OSPF пакеты приветствия передаются тому соседнему узлу, поскольку индивидуальная рассылка обменивается сообщениями. Чтобы определить статические окружения OSPF, перейдите к области Static Neighbor.

  11. Могут быть суммированы маршруты, изученные из других протоколов маршрутизации. Метрика, используемая для рекламы сводки, является самой маленькой метрикой всех более определенных маршрутов. Объединенные маршруты помогают сокращать размер таблицы маршрутизации.

    Использование объединенных маршрутов для OSPF заставляет ASBR OSPF рекламировать один внешний маршрут как агрегат для всех перераспределенных маршрутов, которые покрыты адресом. Только маршруты от других протоколов маршрутизации, которые перераспределяются в OSPF, могут быть суммированы.

  12. В области Виртуального соединения можно добавить область к сети OSPF, и не возможно подключить область непосредственно до мозга костей область; необходимо создать виртуальное соединение. Виртуальное соединение подключает два устройства OSPF, которые имеют общую область, названную транзитной областью. Одно из устройств OSPF должно быть связано до мозга костей область.

Настройте проверку подлинности OSPF

ASA Cisco поддерживает аутентификацию MD5 обновлений маршрута от протокола маршрутизации OSPF. MD5 ввел, дайджест в каждом пакете OSPF предотвращает введение неавторизованных или ложных сообщений маршрутизации из неутвержденных источников. Добавление аутентификации к вашим сообщениям OSPF гарантирует, что ваши маршрутизаторы и ASA Cisco только принимают сообщения маршрутизации от других устройств маршрутизации, которые настроены с тем же предварительным общим ключом. Без этой настроенной аутентификации, если кто-то начинает другое устройство маршрутизации с других или противоположных сведений о маршруте на сеть, таблицы маршрутизации на ваших маршрутизаторах или ASA Cisco могут стать поврежденными, и атака типа отказ в обслуживании может последовать. Когда вы добавляете аутентификацию к сообщениям EIGRP, передаваемым между вашими устройствами маршрутизации (который включает ASA), это предотвращает целеустремленное или случайное добавление другого маршрутизатора к сети и любой проблеме.

Аутентификация маршрута OSPF настроена на поинтерфейсной основе. Все окружения OSPF на интерфейсах, настроенных для проверки подлинности сообщений OSPF, должны быть настроены с тем же режимом аутентификации и ключом для смежностей, которые будут установлены.

Выполните эти шаги, чтобы включить аутентификацию MD5 OSPF на ASA Cisco:

  1. На ASDM переместитесь к Конфигурации> Настройка Устройства> Направляющий> OSPF> Интерфейс, и затем нажмите вкладку Authentication как показано в этом образе.

    /image/gif/paws/107196/ASA8. OSPF_08.gif

    В этом случае OSPF включен на внутреннем интерфейсе.

  2. Выберите внутренний интерфейс, и нажмите Edit.

  3. Под Аутентификацией выберите аутентификацию MD5, и добавьте дополнительные сведения о параметрах аутентификации здесь.

    В этом случае предварительный ключ – cisco123, а идентификатор ключа – 1.

    ASA8. OSPF_09.gif

  4. Нажмите кнопку OK, а затем нажмите Apply.

    /image/gif/paws/107196/ASA8. OSPF_10.gif

Конфигурация интерфейса командой строки ASA Cisco

Cisco ASA
ciscoasa#show running-config
: Saved
:
ASA Version 8.0(2)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names


!--- Inside interface configuration


interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0
 ospf cost 10
 

!--- OSPF authentication is configured on the inside interface 


 ospf message-digest-key 1 md5 <removed>
 ospf authentication message-digest
!


!--- Outside interface configuration


interface Ethernet0/2
 nameif outside
 security-level 0
 ip address 192.168.1.2 255.255.255.0
 ospf cost 10
!

!--- Output Suppressed


icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400
!


!--- OSPF Configuration


router ospf 1
 network 10.1.1.0 255.255.255.0 area 0
 log-adj-changes
!


!--- This is the static default gateway configuration in
order to reach Internet


route outside 0.0.0.0 0.0.0.0 192.168.1.1 1

ciscoasa#

Маршрутизатор Cisco IOS (R2) конфигурация интерфейса командой строки

Маршрутизатор Cisco IOS (R2)


!--- Interface that connects to the Cisco ASA.
!--- Notice the OSPF authentication parameters


interface Ethernet0
 ip address 10.1.1.2 255.255.255.0
 ip ospf authentication message-digest
 ip ospf message-digest-key 1 md5 cisco123


!--- Output Suppressed



!--- OSPF Configuration


router ospf 1
 log-adjacency-changes
 network 10.1.1.0 0.0.0.255 area 0
 network 172.16.1.0 0.0.0.255 area 0
 network 172.16.2.0 0.0.0.255 area 0

Маршрутизатор Cisco IOS (R1) конфигурация интерфейса командой строки

Маршрутизатор Cisco IOS (R1)

!--- Output Suppressed



!--- OSPF Configuration


router ospf 1
 log-adjacency-changes
 network 172.16.5.0 0.0.0.255 area 0
 network 172.16.2.0 0.0.0.255 area 0

Маршрутизатор Cisco IOS (R3) конфигурация интерфейса командой строки

Маршрутизатор Cisco IOS (R3)

!--- Output Suppressed



!--- OSPF Configuration


router ospf 1
 log-adjacency-changes
 network 172.16.1.0 0.0.0.255 area 0
 network 172.16.10.0 0.0.0.255 area 0

Перераспределите в OSPF с ASA

Как отмечалось ранее можно перераспределить маршруты в Процесс маршрутизации OSPF от другого Процесса маршрутизации OSPF, процесса маршрутизации RIP, или от статического и связанных маршрутов, настроенных на поддерживающих OSPF интерфейсах.

В данном примере, перераспределяя Маршруты RIP в OSPF со схемой сети как показано:

/image/gif/paws/107196/ASA8. OSPF_11.gif

Настройка посредством ASDM

  1. Выберите Configuration> Device Setup> Routing> RIP> Setup, чтобы включить RIP, и добавить сеть 192.168.1.0 как показано в этом образе.

    /image/gif/paws/107196/ASA8. OSPF_12.gif

  2. Нажмите кнопку Apply.

  3. Выберите Configuration> Device Setup> Routing> OSPF> Redistribution> Add, чтобы перераспределить Маршруты RIP в OSPF.

    /image/gif/paws/107196/ASA8. OSPF_13.gif

  4. Нажмите кнопку OK, а затем нажмите Apply.

    /image/gif/paws/107196/ASA8. OSPF_14.gif

Эквивалентная конфигурация в интерфейсе командной строки

Конфигурация интерфейса командой строки ASA для перераспределяет RIP в AS OSPF
router ospf 1
 network 10.1.1.0 255.255.255.0 area 0
 log-adj-changes
 redistribute rip subnets

router rip
 network 192.168.1.0

Можно видеть таблицу маршрутизации соседнего Маршрутизатора IOS (R2) после перераспределения Маршрутов RIP в AS OSPF.

R2#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

     172.16.0.0/16 is variably subnetted, 4 subnets, 2 masks
O       172.16.10.1/32 [110/11] via 172.16.1.2, 01:17:29, Ethernet1
O       172.16.5.1/32 [110/65] via 172.16.2.2, 01:17:29, Serial1
C       172.16.1.0/24 is directly connected, Ethernet1
C       172.16.2.0/24 is directly connected, Serial1
     10.0.0.0/24 is subnetted, 1 subnets
C       10.1.1.0 is directly connected, Ethernet0
O E2 192.168.1.0/24 [110/20] via 10.1.1.1, 01:17:29, Ethernet0

!--- Redistributed route adverstied by Cisco ASA

Проверка

Выполните эти шаги для подтверждения конфигурации:

  1. На ASDM можно переместиться к Мониторингу> Направляющий> Окружения OSPF для наблюдения каждого из окружений OSPF. Этот образ показывает внутренний маршрутизатор (R2) как активный соседний узел. Можно также видеть интерфейс, где этот соседний узел находится, идентификатор соседнего маршрутизатора, состояние, и Время простоя.

    /image/gif/paws/107196/ASA8. OSPF_15.gif

  2. Кроме того, можно проверить таблицу маршрутизации, если перейти к Monitoring > Routing > Routes. В этом образе 172.16.1.0/24, 172.16.2.0/24, 172.16.5.0/24, и 172.16.10.0/24 сети изучены через R2 (10.1.1.2).

    ASA8. OSPF_16.gif

  3. От CLI можно использовать команду show route, чтобы получить те же выходные данные.

    ciscoasa#show route
    
    Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
           D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
           N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
           E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
           i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
           * - candidate default, U - per-user static route, o - ODR
           P - periodic downloaded static route
    
    Gateway of last resort is 192.168.1.1 to network 0.0.0.0
    
    O    172.16.10.1 255.255.255.255 [110/21] via 10.1.1.2, 0:00:06, inside
    O    172.16.5.1 255.255.255.255 [110/75] via 10.1.1.2, 0:00:06, inside
    O    172.16.1.0 255.255.255.0 [110/20] via 10.1.1.2, 0:00:06, inside
    O    172.16.2.0 255.255.255.0 [110/74] via 10.1.1.2, 0:00:06, inside
    C    10.1.1.0 255.255.255.0 is directly connected, inside
    C    10.77.241.128 255.255.255.192 is directly connected, dmz
    S    10.77.0.0 255.255.0.0 [1/0] via 10.77.241.129, dmz
    C    192.168.1.0 255.255.255.0 is directly connected, outside
    S*   0.0.0.0 0.0.0.0 [1/0] via 192.168.1.1, outside
  4. Можно также использовать команду show ospf database, чтобы получить информацию об изученных сетях и топологии ospf.

    ciscoasa#show ospf database
    
    
           OSPF Router with ID (192.168.1.2) (Process ID 1)
    
    
                    Router Link States (Area 0)
    
    Link ID         ADV Router      Age         Seq#       Checksum Link count
    172.16.1.2      172.16.1.2      123         0x80000039 0xfd1d 2
    172.16.2.1      172.16.2.1      775         0x8000003c 0x9b42 4
    172.16.5.1      172.16.5.1      308         0x80000038 0xb91b 3
    192.168.1.2     192.168.1.2     1038        0x80000037 0x29d7 1
    
                    Net Link States (Area 0)
    
    Link ID         ADV Router      Age         Seq#       Checksum
    10.1.1.1        192.168.1.2     1038        0x80000034 0x72ee
    172.16.1.1      172.16.2.1      282         0x80000036 0x9e68
  5. Команда show ospf neighbor также полезна, чтобы проверить активные соседние узлы и соответствующую информацию. Данный пример показывает ту же информацию, которую вы получили из ASDM на шаге 1.

    ciscoasa#show ospf neighbor
    
    
    Neighbor ID     Pri   State           Dead Time   Address         Interface
    172.16.2.1        1   FULL/BDR        0:00:36     10.1.1.2        inside

Устранение неполадок

Этот раздел предоставляет сведения, который мог бы упростить проблемы OSPF устранения неисправностей.

Конфигурация статического соседа для сети с двухточечным соединением

При настройке точка-точка сети OSPF, нешироковещательного на ASA необходимо определить статические окружения OSPF для рекламы маршрутов OSPF по точка-точка, нешироковещательная сети. Обратитесь к Определению Статических Окружений OSPF для получения дополнительной информации.

Команды для устранения неполадок

Интерпретатор выходных данных – OIT (только для зарегистрированных пользователей) поддерживает ряд команд show. Посредством OIT можно анализировать выходные данные команд show.

 Примечание. Прежде чем использовать команды debug, ознакомьтесь с документом Важная информация о командах отладки.

  • события ospf отладки — Включают отладку Событий ospf.

    ciscoasa(config)#debug ospf events
    OSPF events debugging is on
    ciscoasa(config)# int e0/1
    ciscoasa(config-if)# no shu
    ciscoasa(config-if)#
    OSPF: Interface inside going Up
    OSPF: Send with youngest Key 1
    OSPF: Rcv hello from 172.16.2.1 area 0 from inside 10.1.1.2
    OSPF: 2 Way Communication to 172.16.2.1 on inside, state 2WAY
    OSPF: Backup seen Event before WAIT timer on inside
    OSPF: DR/BDR election on inside
    OSPF: Elect BDR 172.16.2.1
    OSPF: Elect DR 172.16.2.1
           DR: 172.16.2.1 (Id)   BDR: 172.16.2.1 (Id)
    OSPF: Send DBD to 172.16.2.1 on inside seq 0x1abd opt 0x2 flag 0x7 len 32
    OSPF: Send with youngest Key 1
    OSPF: End of hello processing
    OSPF: Rcv hello from 172.16.2.1 area 0 from inside 10.1.1.2
    OSPF: End of hello processing
    OSPF: Rcv DBD from 172.16.2.1 on inside seq 0x12f3 opt 0x42 flag 0x7 len 32  mtu
     1500 state EXSTART
    OSPF: First DBD and we are not SLAVE
    OSPF: Rcv DBD from 172.16.2.1 on inside seq 0x1abd opt 0x42 flag 0x2 len 152  mt
    u 1500 state EXSTART
    OSPF: NBR Negotiation Done. We are the MASTER
    OSPF: Send DBD to 172.16.2.1 on inside seq 0x1abe opt 0x2 flag 0x3 len 132
    OSPF: Send with youngest Key 1
    OSPF: Send with youngest Key 1
    OSPF: Database request to 172.16.2.1
    OSPF: sent LS REQ packet to 10.1.1.2, length 12
    OSPF: Rcv DBD from 172.16.2.1 on inside seq 0x1abe opt 0x42 flag 0x0 len 32  mtu
     1500 state EXCHANGE
    OSPF: Send DBD to 172.16.2.1 on inside seq 0x1abf opt 0x2 flag 0x1 len 32
    OSPF: Send with youngest Key 1
    OSPF: Send with youngest Key 1
    OSPF: Rcv DBD from 172.16.2.1 on inside seq 0x1abf opt 0x42 flag 0x0 len 32  mtu
     1500 state EXCHANGE
    OSPF: Exchange Done with 172.16.2.1 on inside
    OSPF: Synchronized with 172.16.2.1 on inside, state FULL
    OSPF: Send with youngest Key 1
    OSPF: Send with youngest Key 1
    OSPF: Rcv hello from 172.16.2.1 area 0 from inside 10.1.1.2
    OSPF: Neighbor change Event on interface inside
    OSPF: DR/BDR election on inside
    OSPF: Elect BDR 192.168.1.2
    OSPF: Elect DR 172.16.2.1
    OSPF: Elect BDR 192.168.1.2
    OSPF: Elect DR 172.16.2.1
           DR: 172.16.2.1 (Id)   BDR: 192.168.1.2 (Id)
    OSPF: End of hello processing
    OSPF: Send with youngest Key 1
    OSPF: Send with youngest Key 1
    OSPF: Send with youngest Key 1
    OSPF: Send with youngest Key 1
    OSPF: Rcv hello from 172.16.2.1 area 0 from inside 10.1.1.2
    OSPF: End of hello processing
    OSPF: Send with youngest Key 1
    OSPF: Rcv hello from 172.16.2.1 area 0 from inside 10.1.1.2
    OSPF: End of hello processing
    OSPF: Send with youngest Key 1
    OSPF: Rcv hello from 172.16.2.1 area 0 from inside 10.1.1.2
    OSPF: End of hello processing
    OSPF: Send with youngest Key 1
    OSPF: Rcv hello from 172.16.2.1 area 0 from inside 10.1.1.2
    OSPF: End of hello processing

    Примечание. Обратитесь к разделу ospf отладки Справочника по командам Устройства Cisco Security, Версии 8.0 для получения дополнительной информации о различных командах, которые полезны для устранения неисправностей проблемы.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 107196