Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

Пример конфигурации усовершенствований OSPF выпуска 9.2.1 ASA

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв

Введение

Этот документ объясняет новые характеристики и команды, представленные в Выпуске ПО Устройства адаптивной защиты (ASA) 9.2.1 отнесенных к Протоколу OSPF.

Внесенный Магнусом Мортенсеном и Динкэром Шармой, специалистами службы технической поддержки Cisco.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения в этом документе основываются на Межсетевом экране Cisco ASA 5500-X Series, который выполняет Выпуск ПО Cisco ASA 9.2. (1) и позже.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Настройка

Примечание: Чтобы получить подробные сведения о командах в данном документе, используйте Средство поиска команд (только для зарегистрированных клиентов).

Схема сети

Конфигурации

Поддержка OSPF быстрого Hellos

Пакеты приветствия OSPF являются пакетами, которые процесс OSPF передает к его окружениям OSPF для поддержания подключения с теми соседними узлами. Эти пакеты приветствия передаются в настраиваемом интервале (в секундах). Настройки по умолчанию составляют 10 секунд для Соединения Ethernet и 30 секунд для нешироковещательной ссылки. Пакеты приветствия включают список всех соседних узлов, для которых пакет приветствия был получен в интервале простоя. Интервал простоя является также настраиваемым интервалом (в секундах) и настройки по умолчанию к четыре раза значению интервала приветствия. Значение всех интервалов приветствия должно быть тем же в сети. Аналогично, значение всех интервалов простоя должно быть тем же в сети.

Быстрые пакеты приветствия OSPF обращаются к пакетам приветствия, которые передаются с промежутками в меньше чем 1 секунду. Чтобы включить OSPF быстрые пакеты приветствия, введите команду интервала простоя ospf. Для подвторого hellos интервал простоя установлен в 1 секунду или минимальный, и значение hello-multiplier установлено в количество пакетов приветствия, которые вы хотите передаваемый через ту 1 секунду. Например, если интервал простоя будет установлен в течение 1 секунды, и hello-multiplier установлен для 4, то hellos будет передаваться каждые 0.25 секунды.

Когда быстрые пакеты приветствия настроены на интерфейсе, интервал приветствия, объявленный в пакетах приветствия, которые отосланы, этот интерфейс установлен в 0. Интервал приветствия в пакетах приветствия, полученных по этому интерфейсу, проигнорирован. Следует отметить, что интервал простоя должен быть непротиворечивым на сегменте. Установлено ли это в 1 секунду (для быстрых пакетов приветствия) или установлено в значение, это должно быть непротиворечивый по соседним узлам в том сегменте. Привет множитель не должен быть тем же для всего сегмента, целый по крайней мере один пакет приветствия передается в интервале простоя.

Для включения быстрого hellos со множителем 4, введите интервал простоя ospf минимальная команда hello-multiplier 4 под соответствующей конфигурацией интерфейса.

 interface GigabitEthernet0/0
nameif inside
security-level 100
ip address 198.51.100.1 255.255.255.0
ospf dead-interval minimal hello-multiplier 4

router ospf 1
network 198.51.100.0 255.255.255.0 area 0

Проверьте с  командой show ospf interface.

asa(config)# show ospf interface

inside is up, line protocol is up
Internet Address 198.51.100.1 mask 255.255.255.0, Area 0
Process ID 928, Router ID 198.51.100.1, Network Type BROADCAST, Cost: 10
Transmit Delay is 1 sec, State DR, Priority 1
Designated Router (ID) 198.51.100.1, Interface address 198.51.100.1
No backup designated router on this network
Timer intervals configured, Hello 250 msec, Dead 1, Wait 1, Retransmit 5
Hello due in 48 msec
Index 1/1, flood queue length 0
Next 0x0(0)/0x0(0)
Last flood scan length is 0, maximum is 0
Last flood scan time is 0 msec, maximum is 0 msec
Neighbor Count is 0, Adjacent neighbor count is 0
Suppress hello for 0 neighbor(s)

Новые команды таймера OSPF для описания локального состояния соединениий и удушение SPF

Эти команды были представлены в Выпуске 9.2.1 ASA и позже: timers lsa arrival, следующие таймеры, timers throttle lsa и timers throttle spf как часть Конфигурации маршрутизатора OSPF.

asa(config-router)# timers ?

router mode commands/options:
lsa OSPF LSA timers
pacing OSPF pacing timers
throttle OSPF throttle timers

Эти команды были удалены: timers spf и таймеры lsa-grouping-pacing.

Дополнительные сведения о преимуществах Объявления о состоянии канала (LSA) и удушения Кратчайшего пути сначала (SPF) могут быть найдены в этих документах:

Фильтрация маршрута OSPF с ACL

Фильтрация маршрута со Списком контроля доступа (ACL) теперь поддерживается. Это достигнуто с командой distribute-list к фильтрациям маршрута.

Например, для отфильтровывания маршрутов для 10.20.20.0/24, конфигурация была бы похожа на это:

access-list ospf standard deny host 10.20.20.0
access-list ospf standard permit any4
!
router ospf 1
 network 198.51.100.0 255.255.255.0 area 0
 log-adj-changes
 distribute-list ospf in interface inside

Когда cвязанный ACL проверен, он указывает, что имеет количество соответствия приращения:

asa(config)# show access-list ospf
access-list ospf; 2 elements; name hash: 0xb5dd06eb
access-list ospf line 1 standard deny host 10.20.20.0 (hitcnt=1) 0xe29503b8
access-list ospf line 2 standard permit any4 (hitcnt=2) 0x51ff4e67

Кроме того, можно проверить Routing Information Base (RIB) на ASA для дальнейшего подтверждения функциональности. Введите подробную команду ребра show ospf для сообщения базы данных полных сведений о маршрутизации для процесса маршрутизатора OSPF. 'Флаги', привязанные к каждому маршруту, указывают, был ли он установлен в RIB.

asa(config)# show ospf rib detail

           OSPF Router with ID (198.51.100.10) (Process ID 1)
OSPF local RIB
Codes: * - Best, > - Installed in global RIB

*> 172.18.124.0/32, Intra, cost 11, area 0
    SPF Instance 13, age 0:13:59
    Flags: RIB, HiPrio
     via 198.51.100.2, inside, flags: RIB
      LSA: 1/198.51.100.2/198.51.100.2
*  10.20.20.0/32, Intra, cost 11, area 0
    SPF Instance 13, age 0:13:59
    Flags: HiPrio
     via 198.51.100.2, inside, flags: none
      LSA: 1/198.51.100.2/198.51.100.2
*> 192.168.10.0/32, Intra, cost 11, area 0
    SPF Instance 13, age 0:13:59
    Flags: RIB, HiPrio
     via 198.51.100.2, inside, flags: RIB
      LSA: 1/198.51.100.2/198.51.100.2
*  198.51.100.0/24, Intra, cost 10, area 0
    SPF Instance 13, age 0:52:52
    Flags: Connected
     via 198.51.100.10, inside, flags: Connected
      LSA: 2/198.51.100.2/192.151.100.10

В вышеупомянутых выходных данных были установлены маршрутизаторы, перечисленные с флагами 'RIB', в то время как маршрут с флагами 'ни один' не был установлен. Это должно быть отражено в таблице глобальной маршрутизации также. Сверьтесь с командой show route

asa(config)# show route

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
      D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
      N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
      E1 - OSPF external type 1, E2 - OSPF external type 2
      i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
      ia - IS-IS inter area, * - candidate default, U - per-user static route
      o - ODR, P - periodic downloaded static route, + - replicated route

Gateway of last resort is 10.106.44.1 to network 0.0.0.0

S*   0.0.0.0 0.0.0.0 [1/0] via 10.106.44.1, tftp
O       172.18.124.0 255.255.255.0 [110/11] via 198.51.100.2, 00:00:03, inside
O       192.168.10.0 255.255.255.0 [110/11] via 198.51.100.2, 00:00:03, inside
O      10.20.20.0 255.255.255.0 [110/11] via 198.51.100.2, 00:00:03, inside
S       10.76.76.160 255.255.255.255 [1/0] via 10.106.44.1, tftp
C       10.86.195.0 255.255.255.0 is directly connected, management
L       10.86.195.1 255.255.255.255 is directly connected, management

Усовершенствования мониторинга OSPF

Эти команды были представлены, чтобы помочь контролировать и наблюдать процесс маршрутизатора OSPF. Примеры выходных данных от тех команд предоставлены для ссылки.

краткое описание show ospf interface

Введите укороченную команду show ospf interface для получения кратких сведений подарка смежностей на этом ASA.

asa(config)# show ospf interface brief

Interface PID Area IP Address/Mask Cost State Nbrs F/C
inside 1 0 198.51.100.2/255.255.255.0 10 DR 1/1

статистика show ospf [Подробность]

Подробная команда статистики show ospf предоставляет краткое описание о том, когда SPF пришелся последним и сколько раз это было выполнено. Это также указывает, сколько новых LSA добавлено к базе данных.

asa(config)# show ospf statistics detail


           OSPF Router with ID (198.51.100.10) (Process ID 1)

 Area 0: SPF algorithm executed 12 times

SPF 3 executed 00:32:56 ago, SPF type Full
 SPF calculation time (in msec):
 SPT   Intra D-Intr Summ  D-Summ Ext7  D-Ext7 Total
       0     0     0     0     0     0     00
 LSIDs processed R:2 N:1 Stub:1 SN:0 SA:0 X7:0
 Change record 0x0
 LSIDs changed 1
 Changed LSAs. Recorded is LS ID and LS type:
 198.51.100.2(R)

SPF 4 executed 00:28:16 ago, SPF type Full
 SPF calculation time (in msec):
 SPT   Intra D-Intr Summ  D-Summ Ext7  D-Ext7 Total
       0     0     0     0     0     0     00
 LSIDs processed R:1 N:1 Stub:0 SN:0 SA:0 X7:0
 Change record 0x0
 LSIDs changed 2
 Changed LSAs. Recorded is LS ID and LS type:
 198.51.100.2(R) 198.51.100.10(R)

SPF 5 executed 00:28:06 ago, SPF type Full
 SPF calculation time (in msec):
 SPT   Intra D-Intr Summ  D-Summ Ext7  D-Ext7 Total
       0     0     0     0     0     0     00
 LSIDs processed R:2 N:1 Stub:1 SN:0 SA:0 X7:0
 Change record 0x0
 LSIDs changed 1
 Changed LSAs. Recorded is LS ID and LS type:
 198.51.100.2(R)

SPF 6 executed 00:26:40 ago, SPF type Full
 SPF calculation time (in msec):
 SPT   Intra D-Intr Summ  D-Summ Ext7  D-Ext7 Total
       0     0     0     0     0     0     00
 LSIDs processed R:1 N:1 Stub:0 SN:0 SA:0 X7:0
 Change record 0x0
 LSIDs changed 2
 Changed LSAs. Recorded is LS ID and LS type:
 198.51.100.2(R) 198.51.100.10(R)

соседний узел событий show ospf

 Когда OSPF колеблется, это - полезная команда для проверки состояния соседей OSPF, в частности в случае. Это предоставляет список событий и изменений состояния для каждого соседнего узла вместе с меткой времени тех событий. В данном примере, соседний узел 10.10.40.1 перешедших через состояния от ВНИЗ до FULL

asa(config)# show ospf events neighbor


           OSPF Router with ID (198.51.100.10) (Process ID 1)

 279 May 15 13:07:31.737: Neighbor 198.51.100.2, Interface inside state changes from
LOADING to FULL
 280 May 15 13:07:31.737: Neighbor 198.51.100.2, Interface inside state changes from
EXCHANGE to LOADING
 281 May 15 13:07:31.737: Neighbor 198.51.100.2, Interface inside state changes from
EXSTART to EXCHANGE
 290 May 15 13:07:31.737: Neighbor 198.51.100.2, Interface inside state changes from
2WAY to EXSTART
 296 May 15 13:07:31.738: Neighbor 198.51.100.2, Interface inside state changes from
INIT to 2WAY
 297 May 15 13:07:31.728: Neighbor 198.51.100.2, Interface inside state changes from
DOWN to INIT

события show ospf lsa

Эта команда полезна для проверки, который все LSA генерировались и получались. Они полезны в случае затопления LSA и колебаний связи.

asa(config)# show ospf events lsa


           OSPF Router with ID (198.51.100.10) (Process ID 1)

 253 May 15 13:07:49.167: Rcv Changed Type-1 LSA, LSID 198.51.100.2,
Adv-Rtr 198.51.100.2, Seq# 80000002, Age 1, Area 0
 271 May 15 13:07:32.237: Generate New Type-2 LSA, LSID 198.51.100.1,
Seq# 80000001, Age 0, Area 0
 275 May 15 13:07:32.238: Generate Changed Type-1 LSA, LSID 198.51.100.10,
Seq# 80000002, Age 0, Area 0
 276 May 15 13:07:32.228: Rcv New Type-1 LSA, LSID 198.51.100.2,
Adv-Rtr 198.51.100.2, Seq# 80000001, Age 1, Area 0

события show ospf граничат с ребром

Эта команда предоставляет сведения о маршрутах, добавленных в RIB, и тип маршрута установил (Intra/Inter).

asa(config)# show ospf events neighbor rib

 255 May 15 13:07:54.168: RIB Update, dest 172.18.124.0, mask 255.255.255.255,
gw 198.51.100.2, via inside, source 198.51.100.2, type Intra
 287 May 15 13:07:31.738: Neighbor 198.51.100.2, Interface inside state changes from
LOADING to FULL
 288 May 15 13:07:31.738: Neighbor 198.51.100.2, Interface inside state changes from
EXCHANGE to LOADING
 289 May 15 13:07:31.738: Neighbor 198.51.100.2, Interface inside state changes from
EXSTART to EXCHANGE
 298 May 15 13:07:31.738: Neighbor 198.51.100.2, Interface inside state changes from
2WAY to EXSTART
 304 May 15 13:07:31.738: Neighbor 198.51.100.2, Interface inside state changes from
INIT to 2WAY
 305 May 15 13:07:31.728: Neighbor 198.51.100.2, Interface inside state changes from
DOWN to INIT

события show ospf spf

Поскольку вычисление SPF выполнено, получающиеся времена выполнения и возможности LSA зарегистрированы в списке событий SPF.

 asa(config)# show ospf events spf 
 235 May 15 13:07:54.167: End of SPF, SPF time 0ms, next wait-interval 10000ms
 240 May 15 13:07:54.167: Starting External processing in area 0
 241 May 15 13:07:54.167: Starting External processing
 244 May 15 13:07:54.167: Starting summary processing, Area 0
 250 May 15 13:07:54.167: Starting Intra-Area SPF, Area 0, spf_type Full
 251 May 15 13:07:54.167: Starting SPF, wait-interval 5000ms
 254 May 15 13:07:49.167: Schedule SPF, Area 0, spf-type Full, Change in LSA
Type RLSID 198.51.100.2, Adv-Rtr 198.51.100.2
 255 May 15 13:07:37.227: End of SPF, SPF time 0ms, next wait-interval 10000ms
 260 May 15 13:07:37.228: Starting External processing in area 0
 261 May 15 13:07:37.228: Starting External processing
 264 May 15 13:07:37.228: Starting summary processing, Area 0
 268 May 15 13:07:37.228: Starting Intra-Area SPF, Area 0, spf_type Full
 269 May 15 13:07:37.228: Starting SPF, wait-interval 5000ms
 272 May 15 13:07:32.238: Schedule SPF, Area 0, spf-type Full, Change in LSA
Type NLSID 198.51.100.1, Adv-Rtr 198.51.100.10
 274 May 15 13:07:32.238: Schedule SPF, Area 0, spf-type Full, Change in LSA
Type RLSID 198.51.100.10, Adv-Rtr 198.51.100.10
 277 May 15 13:07:32.228: Schedule SPF, Area 0, spf-type Full, Change in LSA
Type RLSID 198.51.100.2, Adv-Rtr 198.51.100.2

события show ospf, общего назначения

Эти выходные данные содержат события всего процесса общего назначения, такие как выборы Выделенного маршрутизатора (DR) и изменения смежности. 

asa(config)# show ospf events generic
 236 May 15 13:07:54.167: Generic: ospf_external_route_sync0x0
 237 May 15 13:07:54.167: Generic: ospf_external_route_sync0x0
 238 May 15 13:07:54.167: Generic: ospf_external_route_sync0x0
 239 May 15 13:07:54.168: Generic: ospf_external_route_sync0x0
 242 May 15 13:07:54.168: Generic: ospf_inter_route_sync0x0
 243 May 15 13:07:54.168: Generic: ospf_inter_route_sync0x0
 245 May 15 13:07:54.168: Generic: post_spf_intra0x0
 246 May 15 13:07:54.168: Generic: ospf_intra_route_sync0x0
 248 May 15 13:07:54.168: Generic: ospf_intra_route_sync0x0
 249 May 15 13:07:54.168: DB add: 172.18.124.00x987668 204
 252 May 15 13:07:51.668: Timer Exp: if_ack_delayed0xcb97dfe0
 256 May 15 13:07:37.228: Generic: ospf_external_route_sync0x0
 257 May 15 13:07:37.228: Generic: ospf_external_route_sync0x0
 258 May 15 13:07:37.228: Generic: ospf_external_route_sync0x0
 259 May 15 13:07:37.228: Generic: ospf_external_route_sync0x0
 262 May 15 13:07:37.228: Generic: ospf_inter_route_sync0x0
 263 May 15 13:07:37.228: Generic: ospf_inter_route_sync0x0
 265 May 15 13:07:37.228: Generic: post_spf_intra0x0
 266 May 15 13:07:37.228: Generic: ospf_intra_route_sync0x0
 267 May 15 13:07:37.228: Generic: ospf_intra_route_sync0x0
 270 May 15 13:07:34.728: Timer Exp: if_ack_delayed0xcb97dfe0
 273 May 15 13:07:32.238: DB add: 198.51.100.100x987848 206
 278 May 15 13:07:32.228: DB add: 198.51.100.20x987938 205
 283 May 15 13:07:31.738: Elect DR: inside198.51.100.10
 284 May 15 13:07:31.738: Elect BDR: inside198.51.100.2
 285 May 15 13:07:31.736: i/f state nbr chg: inside0x5
 287 May 15 13:07:31.736: Elect DR: inside198.51.100.10
 288 May 15 13:07:31.736: Elect BDR: inside198.51.100.2
 289 May 15 13:07:31.736: i/f state nbr chg: inside0x5
 291 May 15 13:07:31.736: nbr state adjok: 198.51.100.20x3
 293 May 15 13:07:31.736: Elect DR: inside198.51.100.10
 294 May 15 13:07:31.736: Elect BDR: inside198.51.100.2
 295 May 15 13:07:31.736: i/f state nbr chg: inside0x5

show ospf подкрепляет подробность

Эта команда, упомянутая ранее, позволяет администратору видеть, какие маршруты были изучены из узлов и были ли те маршруты установлены в RIB. Маршруты не могли бы быть установлены в RIB из-за фильтрации маршрута (перечисленный ранее).

asa(config)# show ospf rib detail

           OSPF Router with ID (198.51.100.1) (Process ID 1)
OSPF local RIB
Codes: * - Best, > - Installed in global RIB

*> 172.18.124.0/32, Intra, cost 11, area 0
    SPF Instance 13, age 0:13:59
    Flags: RIB, HiPrio
     via 198.51.100.2, inside, flags: RIB
      LSA: 1/198.51.100.2/198.51.100.2
*  10.20.20.0/32, Intra, cost 11, area 0
    SPF Instance 13, age 0:13:59
    Flags: HiPrio
     via 198.51.100.2, inside, flags: none
      LSA: 1/198.51.100.2/198.51.100.2
*> 192.168.10.0/32, Intra, cost 11, area 0
    SPF Instance 13, age 0:13:59
    Flags: RIB, HiPrio
     via 198.51.100.2, inside, flags: RIB
      LSA: 1/198.51.100.2/198.51.100.2
*  198.51.100.0/24, Intra, cost 10, area 0
    SPF Instance 13, age 0:52:52
    Flags: Connected
     via 198.51.100.10, inside, flags: Connected
      LSA: 2/198.51.100.2/192.151.100.10

подробность show ospf neighbor

Подробная команда show ospf neighbor позволяет вам детализировать статус соседства OSPF.

 asa(config)# show ospf neighbor detail

Neighbor 198.51.100.2, interface address 198.51.100.2
In the area 0 via interface ISP
Neighbor priority is 1, State is FULL, 6 state changes
DR is 198.51.100.10 BDR is 198.51.100.2
Options is 0x12 in Hello (E-bit, L-bit)
Options is 0x52 in DBD (E-bit, L-bit, O-bit)
Dead timer due in 0:00:16
Neighbor is up for 00:02:45
Index 1/1, retransmission queue length 0, number of retransmission 0
First 0x0(0)/0x0(0) Next 0x0(0)/0x0(0)
Last retransmission scan length is 0, maximum is 0
Last retransmission scan time is 0 msec, maximum is 0 msec

OSPF перераспределяет BGP

Для поддержки перераспределения Протокола BGP в и из других протоколов маршрутизации, команда redistribute bgp была представлена Конфигурации маршрутизатора OSPF. Введите эту команду для перераспределения маршрутизировавшего, изученного через BGP в рабочий процесс OSPF.

asa(config)# router ospf 1
asa(config-router)# redistribute bgp ?
router mode commands/options:
100 Autonomous system number
ASA-1(config-router)# redistribute bgp 100

Проверка.

В настоящее время для этой конфигурации нет процедуры проверки.

Устранение неполадок

Для этой конфигурации в настоящее время нет сведений об устранении проблем.


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Document ID: 118098