أستكشاف أخطاء EIGRP وإصلاحها على أجهزة FTD المدارة بواسطة FMC
المقدمة
يوضح هذا المستند كيفية التحقق من تكوين EIGRP واستكشاف أخطائه وإصلاحها على FTD الذي تتم إدارته بواسطة FMC.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- بروتوكول توجيه العبارة الداخلي المحسن (EIGRP)
- مركز إدارة جدار الحماية الآمن (FMC) من Cisco
- الدفاع الآمن عن تهديد جدار الحماية (FTD) من Cisco
المكونات المستخدمة
- FTDv في الإصدار 7.4.2.
- FMCv في الإصدار 7.4.2.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
EIGRP هو بروتوكول توجيه متجه المسافات المتقدم الذي يجمع بين ميزات كل من متجه المسافات وبروتوكولات حالة الارتباط. فهو يوفر إمكانية تقارب سريعة من خلال الحفاظ على معلومات التوجيه من الجيران، مما يسمح بالتكيف السريع مع المسارات البديلة. يعد EIGRP فعالا، حيث يستخدم التحديثات الجزئية التي تم تشغيلها لتغييرات المسار أو القياس بدلا من التحديثات الكاملة الدورية.
بالنسبة للاتصال، يعمل بروتوكول EIGRP مباشرة على طبقة IP (البروتوكول 88) ويستخدم بروتوكول النقل الموثوق به (RTP) لضمان تسليم الحزم المطلوب. وهو يدعم كلا من البث المتعدد والبث الأحادي، مع رسائل الترحيب على وجه التحديد باستخدام عناوين البث المتعدد 224.0.0.10 أو FF02::A.
تستند عملية EIGRP بشكل أساسي إلى المعلومات المخزنة في ثلاثة جداول:
- الجدول المجاور: يحتفظ هذا الجدول بسجل لأجهزة EIGRP المتصلة مباشرة والتي تم إنشاء التجاور معها بنجاح.
- جدول المخطط: يخزن هذا الجدول جميع المسارات المتعلمة التي يعلن عنها الجيران، بما في ذلك جميع المسارات الممكنة إلى وجهة معينة والمقاييس المرتبطة بها، مما يسمح بتقييم جودتها وعدد المسارات المتاحة.
- جدول التوجيه: يحتوي هذا الجدول على أفضل مسار لكل وجهة، المعروفة باسم 'الخلف'. وهذا المسار اللاحق هو المسار المستخدم بنشاط لإعادة توجيه حركة المرور ويتم الإعلان عنه لاحقا لجيران EIGRP الآخرين.
يستخدم EIGRP الأوزان المترية، المعروفة باسم قيم K، في التوجيه والحسابات المترية لتحديد المسار الأمثل إلى الوجهة. هذه القيمة المترية مشتقة من صيغة تستخدم المعلمات:
- النطاق الترددي
- زمن التأجيل
- موثوقية
- تحميل
- MTU
ملاحظة: في حالة وجود إرتباط متري بين مسارات متعددة، يتم إستخدام وحدة الإرسال القصوى (MTU) كمجزئ للتعادل، مع تفضيل قيمة MTU أعلى.
-
المسار اللاحق: يتم تعريف هذا كأفضل مسار لوجهة معينة. وهو المسار الذي يتم تثبيته في نهاية المطاف في جدول التوجيه.
-
المسافة الممكنة (fd): يمثل هذا أفضل قياس محسوب للوصول إلى شبكة فرعية معينة من منظور الموجه المحلي.
-
المسافة المبلغ عنها (RD) / المسافة المعلن عنها (AD): هذه هي المسافة (المترية) إلى شبكة فرعية معينة كما تم الإبلاغ عنها من قبل جار. ولكي يتم إعتبار المسار خلفا ممكنا، يجب أن تكون المسافة التي يتم الإبلاغ عنها من الجار أقل من المسافة الممكنة للموجه المحلي إلى الوجهة نفسها.
-
الخلف الممكن (FS): هذا مسار نسخ إحتياطي لوجهة ما، يوفر مسارا بديلا في حالة فشل المسار الخلف الأساسي. ويتأهل المسار ليكون خلفا ممكنا إذا كانت المسافة التي يبلغ عنها (من الجارة التي تقوم بالإعلان) أقل بكثير من المسافة الممكنة للطريق الخلف الحالي إلى نفس الوجهة.
الرسم التخطيطي للشبكة
الرسم التخطيطي للشبكة
التكوين الأساسي
انتقل إلى الأجهزة > إدارة الأجهزة:
تحديد الجهاز:
انقر فوق علامة التبويب توجيه.
انقر EIGRP في القائمة اليسرى.
طقطقة يمكن EIGRP.
قم بتعيين رقم (1-65535).
حدد شبكة/مضيف واحد. يمكنك إما تحديد كائن تم إنشاؤه مسبقا من القائمة "الشبكة/المضيف المتوفر"، أو يمكنك إنشاء كائن جديد بالنقر فوق زر علامة الجمع (+).
انقر فوق حفظ.
التحقق من الصحة
هنا الحد الأدنى لمتطلبات تجاور EIGRP:
- يجب أن يتطابق الرقم AS.
- يجب أن تكون الواجهة نشطة ويمكن الوصول إليها.
- كأفضل ممارسة، يجب أن تتطابق مؤقتات Hello و Hold.
- يجب أن تتطابق القيم K.
- يجب عدم حظر قوائم الوصول لحركة مرور EIGRP.
التحقق من الصحة باستخدام CLI
- show run router eigrp
- إظهار جيران EIGRP
- عرض مخطط eigrp
- show eigrp interfaces
- show route eigrp
- عرض حركة مرور eigrp
- debug ip eigrp المجاور
- حزم debug eigrp
Firepower# show run router eigrp
الموجه eigrp 1
لا توجد معلومات افتراضية في
لا توجد معلومات افتراضية
لا توجد تحذيرات خاصة بواجهة مستخدم eigrp
لا يوجد تغييرات في سجل المجاور ل eigrp
الشبكة 192.168.193.0 255.255.255.0
الشبكة 172.16.193.8 255.255.255.248
Firepower#
جيران Firepower# show eigrp
جيران EIGRP-IPv4 ل AS(1)
SRTT RTO q SEQ لواجهة العنوان
(ثانية) (مللي ثانية) رقم CNT
0 192.168.193.121 خارج 14 21:45:04 40 240 0 30
Firepower# show eigrp topology
جدول مخطط EIGRP-IPv4 ل AS(1)/ID(192.168.193.121)
الرموز: P - خامل، A - نشط، U - تحديث، Q - استعلام، R - رد،
r - حالة الرد، s - حالة SIA
P 192.168.193.0 255.255.255.0، 1 خلف، FD هو 512
عبر موصل، في الخارج
P 172.16.193.0 255.255.255.248، 1 خلف، و FD هو 768
عبر الإصدار 192.168.193.116 (768/512)، خارج
ص 172.16.193.8 255.255.255.248، 1 خلف، د.إ 512
عبر موصل، من الداخل
واجهات Firepower# show eigrp
واجهات EIGRP-IPv4 ل AS(1)
قائمة انتظار XMIT متوسط وقت ربط الإرسال المتعدد معلق
مسارات UN/SRTT الموثوق بها/مؤقت التدفق الموثوق به للواجهة النظيرة
خارج 10 / 0 10 0 / 1 50 0
داخل 0 / 0 0 / 1 0
Firepower#
Firepower# show route eigrp
الرموز: L - محلي، C - متصل، S - ساكن إستاتيكي، R - RIP، M - محمول، B - BGP
D - EIGRP، EX - EIGRP خارجي، O - OSPF، IA - OSPF بين المناطق
N1 - OSPF NSSA خارجي النوع 1، N2 - OSPF NSSA خارجي النوع 2
E1 - OSPF خارجي النوع 1، E2 - OSPF خارجي النوع 2، V - VPN
i - is-is، su - is-is summary، l1 - is-is-level-1، l2 - is-is-level-2
IA - IS-IS بين المناطق، * - تعيين المرشح الافتراضي، U - المسار الثابت لكل مستخدم
o - ODR، P - مسار ثابت يتم تنزيله بشكل دوري، + - مسار منسوخ نسخا متماثلا
SI - Static InterVRF و BI - BGP InterVRF
عبارة المحاولة الأخيرة هي 192.168.193.254 للشبكة 0.0.0.0
D 172٫16٫193٫0 255٫255٫255٫248
[90/768] عبر 192.168.193.116 و 02:32:58، خارج
firepower# show route
الرموز: L - محلي، C - متصل، S - ساكن إستاتيكي، R - RIP، M - محمول، B - BGP
D - EIGRP، EX - EIGRP خارجي، O - OSPF، IA - OSPF بين المناطق
N1 - OSPF NSSA خارجي النوع 1، N2 - OSPF NSSA خارجي النوع 2
E1 - OSPF خارجي النوع 1، E2 - OSPF خارجي النوع 2، V - VPN
i - is-is، su - is-is summary، l1 - is-is-level-1، l2 - is-is-level-2
IA - IS-IS بين المناطق، * - تعيين المرشح الافتراضي، U - المسار الثابت لكل مستخدم
o - ODR، P - مسار ثابت يتم تنزيله بشكل دوري، + - مسار منسوخ نسخا متماثلا
SI - Static InterVRF و BI - BGP InterVRF
عبارة المحاولة الأخيرة هي 192.168.193.254 للشبكة 0.0.0.0
S* 0.0.0.0.0.0 [1/0] عبر 192.168.193.254، خارج
D 172٫16٫193٫0 255٫255٫255٫248
[90/768] عبر 192.168.193.116 و 02:33:41، خارج
C 172.16.193.8 255.255.255.248 متصل مباشرة، داخل
L 172.16.193.14 255.255.255.255 متصل مباشرة، داخل
C 192.168.193.0 255.255.255.0 متصل مباشرة، خارج
L 192.168.193.121 255.255.255.255 متصل مباشرة، خارج
Firepower#
يعرض Firepower# حركة مرور eIGRP
إحصائيات حركة مرور EIGRP-IPv4 ل AS(1)
تم إرسال/تلقي الترحيب: 4006/4001
التحديثات المرسلة/المستلمة: 4/4
الاستعلامات المرسلة/المستلمة: 0/0
الردود المرسلة/المتلقاة: 0/0
رسائل البريد الإلكتروني المرسلة/المستلمة: 3/2
استعلامات SIA المرسلة/المستلمة: 0/0
SIA-الردود المرسلة/المتلقاة: 0/0
معرف عملية مرحبا: 2503149568
معرف عملية PDM: 2503150496
قائمة انتظار مأخذ التوصيل:
قائمة انتظار الإدخال: 0/2000/2/0 (الحالي/الحد الأقصى/الأعلى/عمليات السقوط)
Firepower#
استكشاف الأخطاء وإصلاحها
السيناريو 1 - جار تصحيح أخطاء IP EIGRP
يمكن إستخدام أوامر تصحيح الأخطاء لمراقبة أي تغييرات في الحالات المجاورة.
جار تصحيح أخطاء ip eigrp ل Firepower#
Firepower#
EIGRP: انتهت صلاحية Holdtime
النزول: النظير 192.168.193.121 total=0 stub 0، iidb-stub=0 iid-all=0
EIGRP: فشل معالجة التوزيع [0]
EIGRP: جار 192.168.193.121 نزل إلى الخارج
قم بتشغيل الأمر show eigrp neighbors للتحقق من حالة الجوار بين FTDs.
جيران Firepower# show eigrp
جيران EIGRP-IPv4 ل AS(1)
تحقق من حالة الواجهات باستخدام الأمر show interface ip brief. يمكنك ملاحظة أن واجهة GigabitEthernet0/1 معطلة إداريا.
موجز ip للواجهة Firepower#
هل توافق على عنوان IP للواجهة؟ بروتوكول حالة الأسلوب
GigabitEthernet0/0 172.16.193.14 YES Config up
GigabitEthernet0/1 192.168.193.121 YES Config Administrative Down
GigabitEthernet0/2 192.168.194.24 YES Manual up
Internal-Control0/0 127.0.1.1 نعم غير معد
إلغاء إعداد Internal-Control0/1 غير المعين ل YES
إلغاء تعيين YES ل Data0/0 داخلي غير معين
إلغاء إعداد YES غير المعين ل Data0/0 الداخلية
Internal-Data0/1 169.254.1.1 نعم تم إلغاء الإعداد
إلغاء إعداد YES غير المعين ل Data0/2 الداخلية
Management0/0 203.0.113.130 نعم غير معد
السيناريو 2 - المصادقة
يدعم FTD خوارزمية تجزئة MD5 لمصادقة حزم EIGRP. وبشكل افتراضي، يتم تعطيل هذه المصادقة.
لتمكين خوارزمية تجزئة MD5، ضع علامة على خانة الاختيار "مصادقة MD5". من المهم للغاية أن تتطابق إعدادات المصادقة على كلا الجهازين؛ إذا تم تمكينها على جهاز واحد وليس الآخر، لا يمكن أن يشكل التجاور المجاور بينها.
دققت هذا تشكيل يستعمل debug eigrp ربط.
حزم تصحيح أخطاء Firepower#
(تحديث، طلب، استعلام، رد، مرحبا، IPXSAP، تحقيق، ACK، STUB، SIAQUERY، SIAREPLY)يتم تشغيل تصحيح حزم EIGRP
Firepower#
EIGRP: خارج: الحزمة المتجاهلة من 192.168.193.121، opcode = 5 (المصادقة خارج أو سلسلة المفاتيح مفقودة)
EIGRP: تم تلقي HELLO من خارج NBR 172.16.193.14
AS 1، العلامات 0x0:(NULL)، Seq 0/0 interfaceQ 0/0
EIGRP: إرسال HELLO إلى الخارج
AS 1، Flags 0x0:(NULL)، Seq 0/0 interfaceQ 0/0 iidbQ un/rely 0/0
EIGRP: إرسال HELLO إلى الداخل
AS 1، Flags 0x0:(NULL)، Seq 0/0 interfaceQ 0/0 iidbQ un/rely 0/0
EIGRP: خارج: الحزمة المتجاهلة من 192.168.193.121، opcode = 5 (المصادقة خارج أو سلسلة المفاتيح مفقودة)
EIGRP: تم تلقي HELLO من خارج NBR 172.16.193.14
AS 1، العلامات 0x0:(NULL)، Seq 0/0 interfaceQ 0/0
EIGRP: إرسال HELLO إلى الداخل
AS 1، Flags 0x0:(NULL)، Seq 0/0 interfaceQ 0/0 iidbQ un/rely 0/0
EIGRP: إرسال HELLO إلى الخارج
AS 1، Flags 0x0:(NULL)، Seq 0/0 interfaceQ 0/0 iidbQ un/rely 0/0
EIGRP: خارج: الحزمة المتجاهلة من 192.168.193.121، opcode = 5 (المصادقة خارج أو سلسلة المفاتيح مفقودة).
يمكنك ملاحظة رسالة تشير إلى إيقاف تشغيل المصادقة أو فقدان سلسلة المفاتيح. في هذا السيناريو، يحدث ذلك عادة عند تمكين المصادقة على نظير واحد وليس على الآخر.
EIGRP: خارج: الحزمة المتجاهلة من 192.168.193.121، opcode = 5 (المصادقة خارج أو سلسلة المفاتيح مفقودة).
دققت مع عرض شوط قارن <EIGRP قارن>.
Firepower1# show run interface GigabitEthernet0/1
!
interface GigabitEthernet0/1
اسم خارج
مستوى الأمان 0
عنوان IP 192.168.193.121 255.255.255.0
مفتاح المصادقة eigrp 1 **** key-id 10
وضع المصادقة eigrp 1 md5
Firepower2# show run interface GigabitEthernet0/1
!
interface GigabitEthernet0/1
اسم خارج
مستوى الأمان 0
عنوان IP 192.168.193.116 255.255.255.0
السيناريو 3 - الواجهات السلبية
عندما EIGRP يكون شكلت، EIGRP مرحبا ربط بشكل خاص أرسلت واستلمت على قارن حيث الشبكة مكنت.
ومع ذلك، إذا تم تكوين واجهة على أنها خاملة، فإن EIGRP يمنع تبادل حزم الترحيب بين موجهين على تلك الواجهة، مما ينتج عنه فقد التجاور المجاور. ونتيجة لذلك، لا يمنع هذا الإجراء الموجه فقط من الإعلان عن تحديثات التوجيه من تلك الواجهة ولكنه يوقفه أيضا عن تلقي تحديثات التوجيه من تلك الواجهة.
قم بتشغيل الأمر show eigrp neighbors للتحقق من حالة الجوار بين FTDs.
جيران برنامج Firepower# show eigrp
جيران EIGRP-IPv4 ل AS(1)
يمكنك التحقق من حزم EIGRP التي يتم إرسالها والواجهات التي يتم إرسالها من خلال إستخدام الأمر debug eigrp packet.
FTD 1
Firepower1#
(تحديث، طلب، استعلام، رد، مرحبا، IPXSAP، تحقيق، ACK، STUB، SIAQUERY، SIAREPLY)يتم تشغيل تصحيح حزم EIGRP
Firepower#
EIGRP: إرسال HELLO إلى الخارج
AS 1، Flags 0x0:(NULL)، Seq 0/0 interfaceQ 0/0 iidbQ un/rely 0/0
EIGRP: إرسال HELLO إلى الداخل
AS 1، Flags 0x0:(NULL)، Seq 0/0 interfaceQ 0/0 iidbQ un/rely 0/0
EIGRP: إرسال HELLO إلى الخارج
AS 1، Flags 0x0:(NULL)، Seq 0/0 interfaceQ 0/0 iidbQ un/rely 0/0
EIGRP: إرسال HELLO إلى الداخل
AS 1، Flags 0x0:(NULL)، Seq 0/0 interfaceQ 0/0 iidbQ un/rely 0/0
EIGRP: إرسال HELLO إلى الخارج
FTD 2
حزم تصحيح أخطاء Firepower2#
(تحديث، طلب، استعلام، رد، مرحبا، IPXSAP، تحقيق، ACK، STUB، SIAQUERY، SIAREPLY)يتم تشغيل تصحيح حزم EIGRP
Firepower2#
في هذا السيناريو، لا يرسل FTD 2 رسائل EIGRP hello لأنه تم تكوين الواجهات الداخلية والخارجية على أنها خاملة. تحقق من ذلك باستخدام الأمر show run router eigrp.
Firepower2# show run router eigrp
الموجه eigrp 1
لا توجد معلومات افتراضية في
لا توجد معلومات افتراضية
لا توجد تحذيرات خاصة بواجهة مستخدم eigrp
لا يوجد تغييرات في سجل المجاور ل eigrp
الشبكة 192.168.193.0 255.255.255.0
الشبكة 172.16.193.8 255.255.255.248
الواجهة الخاملة الخارجية
الواجهة الخاملة في الداخل
ملاحظة: لإيقاف جميع عمليات تصحيح الأخطاء التي تم تكوينها، الرجاء إستخدام الأمر undebug all.
معلومات ذات صلة
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
23-Sep-2025
|
الإصدار الأولي |
التعليقات